رایانه‌هایی که آلوده متولد و صادر می‌شوند

رایانه‌هایی که آلوده متولد و صادر می‌شوند

به گزارش  اینفوورلد، این بار ظاهرا موفقیت از آن محققان شرکت های امنیتی است نه هکرها. "جاناتان بروسارد"، محقق امنیتی است که توانسته بدافزاری به نام Rakshasa را برای آلوده کردن بایوس رایانه طراحی کند.

بایوس نرم افزاری دائمی و ثابت در مادربرد رایانه هاست که باعث راه اندازی سایر مولفه های سخت افزاری می شود.

این بدافزار که از نوع hardware backdoor است جایگزین سیستم ورودی خروجی اساسی رایانه یا همان بایوس (Basic Input Output System) شده و سیستم عامل را در زمان بوت شدن یا بالا آمدن دچار اختلال می کند، بدون آنکه ردپایی از خود بر روی هارد دیسک بر جای بگذارد. همین مسئله شناسایی Rakshasa را بسیار دشوار می سازد.

جاناتان بروسارد که مدیر عامل و محقق امنیتی در شرکت فرانسوی Toucan System است، به تازگی نحوه عملکرد این بدافزار را در کنفرانس هکری دفکان تشریح کرده است. البته Rakshasa اولین بدافزاری نیست که بایوس رایانه ها را هدف قرار داده اما تفاوت آن با تهدیدات مشابه استفاده از حقه های جدید برای دستیابی به ثبات و پایداری و جلوگیری از شناسایی خود است.

Rakshasa نه تنها جایگزین بایوس مادربرد می شود، بلکه می تواند firmware های مشابه با firmware بایوس را در وسایل دیگری همچون کارت شبکه یا سی دی رام ها را نیز آلوده کرده و از این طریق به سرعت خود را تکثیر کند.

طراحی این بدافزار بر مبنای نرم افزاری متن باز انجام شده است. Rakshasa با استفاده از ترکیب دو جایگزین؛ یعنی Coreboot و SeaBIOS جایگزین نرم افزار دائمی بایوس می شود و یک نرم افزار دائمی متن باز برای بوت شبکه به نام iPXE می نویسد که خود را بر روی کارت شبکه رایانه نصب می کند.

تمامی این جایگزینی ها و تغییر و تحولات به گونه ای بی سروصدا صورت می گیرند و بنابراین در زمان بوت کاربران متوجه هیچ نکته غیرعادی نمی شوند. مولفه جایگزین Coreboot به گونه ای طراحی شده که می تواند از اقدامات متداول بایوس تقلید کند.

رایانه های امروزی به گونه ای طراحی شده اند که تمامی ابزار جانبی آنها می توانند دسترسی یکسانی به حافظه RAM داشته باشند. جاناتان بروسارد معتقد است که حتی درایو سی دی رام به خوبی می تواند کارت شبکه را کنترل کند.

این بدان معناست که حتی اگر کسی بخواهد تنظیمات اصلی بایوس را اعمال کرده و آن را به حالت اول برگرداند، نرم افزار ثابت مخرب نصب شده بر روی کارت شبکه یا درایو سی دی رام مانع این مسئله شده و مجددا وضعیت را به حالت قبلی باز می گرداند.

بنابراین تنها راه برای رهایی از نرم افزار ثابت مخرب، خاموش کردن رایانه و راه اندازی دستی دستگاه های جانبی است. البته این روش هم به وسیله اکثر کاربران قابل اجرا نیست، زیرا نیازمند تجهیزات ویژه و همین طور دانش و اطلاعات کافی است.

این محقق می گوید بدافزار Rakshasa را طراحی کرده تا ثابت کند تخریب سخت افزارها و سوءاستفاده از آنها هم ممکن است و حتی قبل از تحویل یک رایانه به مصرف کننده نهایی نیز می توان آن را آلوده کرد. بنابراین ممکن است در آینده شاهد عرضه رایانه هایی به بازار باشیم که بدافزارهایی به طور پیش فرض بر روی سخت افزارشان نصب شده باشد و از آنها برای جاسوسی و سرقت اطلاعات کاربران استفاده شود.

بدون شک این فرایند جبهه ای جدید در نبردهای سایبری می گشاید و شاهد تلاش کشورهای مختلف جهان برای صادرات محصولات رایانه ای آلوده به کشورهای رقیب یا متخاصم خواهیم بود.

به طور کلی اگر مهاجمی بتواند با سوءاستفاده از یک بدافزار کنترل رایانه ای را به دست آورد، به طور تئوریک می تواند تنظیمات بایوس را نیز پاک کرده و اقدامات تخریبی مورد نظرش را انجام دهد. البته حملات از راه دور از این دست در همه موارد به درستی عمل نمی کند، زیرا برخی از لوازم جانبی رایانه ها دارای یک سوئیچ فیزیکی هستند که بدون جابه جایی آنها نصب نرم افزارهای ثابت جدید و هر گونه دست‌کاری بایوس ممکن نخواهد بود. علاوه بر این برخی بایوس ها هم دارای امضای دیجیتال هستند و نمی توان آنها را تغییر داد.

اما باید توجه داشت که مولفه Coreboot قادر به لود کردن نرم افزارهای ثابتی است که از قبل بر روی کارت شبکه نوشته شده باشند و بنابراین از این طریق می توان سوئیچ های فیزیکی را هم دور زد. به طور کلی در صورت دسترسی فیزیکی به رایانه ها حملات یاد شده حتما قابل اجراست، اما اگر دسترسی به صورت فیزیکی مقدور نباشد، تنها یک درصد از شانس موفقیت حملات کاسته می شود.

نرم افزار ثابت iPXE که برای اجرا از طریق کارت شبکه طراحی شده، به گونه ای پیکربندی شده که بتواند یک bootkit را اجرا کند. bootkit کدی آلوده است که پیش از بالا آمدن سیستم عامل اجرا می شود و می تواند آن را قبل از آغاز به کار هر محصول امنیتی و ضدویروسی آلوده کند.

برخی برنامه های بدافزاری قادر به ذخیره سازی کدبوت کیت در درون Master Boot Record یا (MBR) هارد دیسک هستند. البته این کار یافتن و پاکسازی این کدهای مخرب را برای برنامه های ضدویروس و همین طور متخصصان امنیتی ساده تر می کند.

اما Rakshasa در این زمینه هم عملکرد متفاوتی دارد، زیرا از نرم افزار ثابت iPXE برای دانلود یک بوت کیت از محلی دیگر استفاده کرده و با هر بار بوت شدن رایانه آن را بر روی RAM لود می کند. کارشناسان معتقدند استفاده از این شیوه هوشمندانه باعث می شود حتی پیشرفته ترین شرکت های امنیتی هم قادر به شناسایی Rakshasa نباشند.

نکته دیگر آن که پس از فعالیت تخریبی بوت کیت و اجرای تغییرات بر هسته اصلی سیستم عامل یا همان کرنل، می توان اجرای بدافزار را از روی حافظه متوقف کرد. بنابراین تجزیه و تحلیل آنی RAM رایانه ها هم منجر به شناسایی Rakshasa نخواهد شد.

iPXE از قابلیت تبادل داده از طریق Ethernet یا با استفاده از فناوری های بی سیم وای فای یا وایمکس برخوردار است و از پروتکل های مختلفی مانند HTTP، HTTPS و FTP پشتیبانی می کند. در نتیجه یک مهاجم با استفاده از آن قابلیت های متنوعی برای حمله در اختیار خواهد داشت.

به عنوان مثال Rakshasa می تواند یک بوت کیت را از وبلاگ یا وب سایتی با پسوند فایل های مشهور مانند پی دی اف یا jpg دانلود کند. Rakshasa قادر به ارسال آدرس های آی پی و دیگر اطلاعات شبکه ای رایانه های آلوده شده به آدرس های ایمیل از قبل تعریف شده نیز هست.

مهاجم همچنین می تواند از همین طریق پیکربندی بدافزار مورد نظرش را به روز کند یا نسخه ای جدید از بدافزار را از طریق کانال ارتباطی ایمن HTTPS به سمت کارت شبکه ارسال کند و فرامین بعدی را از طریق سرورهای فرمان و کنترل برای آن بفرستد. رفتارهایی از این دست از کار انداختن بدافزارها را برای کارشناسان امنیتی و نرم افزارهای ضدویروس به شدت دشوار می کند.

اگر چه این بدافزار به صورت عمومی یا به وسیله هکرها طراحی نشده و به کار گرفته نشده است، اما با توجه به عملی بودن طراحی آن هیچ بعید نیست در آینده شاهد انتشار اخباری در مورد آلودگی فضای مجازی به Rakshasa و نمونه های مشابه آن باشیم.

منبع: فارس