相關文章

E3003510bfc4b3652e3031666d500c08 在拔掉網路線、Wi-Fi、藍牙之後,竟然還有電腦病毒可以繼續發號施令,聽起來就像是科幻小說的故事一樣。但是,這種病毒已經在三年前就出現了,而且資安專家到現在還無法確認到底要如何清除它,以及它真正的擴散原因是什麼。

安全專家,同時也是Pwn2Own駭客挑戰賽的創辦人Dragos Ruiu,前幾天在接受Ars Technica 訪問的時候,透露了一件這三年來一直困擾他的怪事。事情離奇的程度,對於任何關心資訊安全的人聽起來,簡直就像是資訊版的僵屍電影一樣恐怖離奇。

▲Dragos Ruiu

三年前,Dragos Ruiu在他的實驗室裡頭,才剛剛幫他的MacBook Air更新了OS X,之後沒多久他就注意到一件奇怪的事情:他的筆電在自動更新BIOS。然後當他嘗試要從光碟機啟動電腦的時候,被電腦拒絕了。他同時也發現他的電腦會自動刪除某些資料,並且在沒有任何提示的情況下,把一些原本弄好的設定給恢復回來。事情雖然古怪,但當時因為時間已經很晚了,加上他想或許是新灌好的系統哪裡步驟出了錯,也不以為意,就去睡覺了。

結果在接下來的幾個月,發生在Dragos Ruiu身上的事情簡直就是科幻恐怖片的情節:他實驗室中一台執行Open BSD系統的電腦也開始自作主張地刪除資料,以及自動調整設定;他發現網路內有些資料透過IPv6在傳輸數據,甚至是從那些原本已經把電腦的IPv6協定關閉的電腦;最離奇的是,這些被感染的機器,就算是拔除了網路線、移掉了Wi-Fi、藍芽卡,依然還是能對實驗室中其他的電腦發號施令,而且還橫跨了 Windows Linux 等不同的平台。

▲這種病毒頑強的程度就跟僵屍一樣。

最後,Dragos Ruiu做了所有資安專家都會做的事情:他將實驗室中所有的系統都重新清除再安裝。但是,在接下來的這三年間,這個感染依然斷斷續續地發生,就像是細菌增生一樣。他只好一遍又一遍地重複這樣的動作。

病毒最明顯的徵兆是被感染的電腦都無法從光碟機開機啟動,不過為了偵測出更多關於病毒的行為,他採用了一些類似Process Monitor的工具,用來觀察病毒的行為。由這裡他發現更驚人的是,他採用了「airgaps」的設計來隔絕受感染以及可能受感染的電腦,「airgaps」的意思就是將這些電腦完整地隔絕在實驗室的網路之外,不管是有線或是無線的,就算採取這樣的措施,這些病毒似乎還有自我治療的能力。

▲airgaps是用來將電腦隔絕一切接觸外界環境的程序。

「有一台受感染的電腦採用了airgaps的措施,我們重裝了他的BIOS,全新沒有任何資料的硬碟也剛裝上去,透過原版Windows安裝光碟裝上了系統。」Ruiu對採訪的記者表示,「沒有多久,當我們要安裝我們的Process Monitor工具時,我們發現這台電腦的registry編輯器被disabled了。這時我們不由得想:嘿,這真是太不科學了!這台電腦怎麼可能去攻擊我們正準備要用來攻擊他的程式?我的意思是說,這是一台已經採用過airgaps隔絕的機器,然後就當我們正準備透過registry編輯器去搜尋病毒特徵的時候,所有的搜尋功能就被禁止了!」

遇到這種事,就連資安專家Ruiu也無計可施。他在接下來的兩週在他的Twitter、Facebook、Google+上都描述了他對於這個病毒的調查,而這也引起世界上其他的頂尖資安專家的注意。

Ruiu認為這個病毒是透過USB裝置感染了電腦的底層硬體,攻擊了電腦的BIOS、UEFI,也可能感染了其他的韌體裝置。這個病毒可以攻擊多種的平台,逃避一般的偵測方式,以及從各種企圖毀滅它的行為中存活下來。其中,最困擾Ruiu的一點是,當所有的網路都被隔絕之後,這個病毒到底是用什麼方式擴散傳染給其他的電腦?

但是隨著這個事件繼續的偵察下去,Ruiu在一次意外中發現,隨著他移除了電腦內部的揚聲器以及麥克風之後,電腦的感染狀況竟然奇蹟似停止了。在他嘗試了幾台電腦都得到這樣的結果之後,他判斷,病毒是利用揚聲器發出一種人耳偵測不到的高頻聲音,而透過另一台電腦的麥克風接收到這個高頻,以此來進行病毒之間溝通的方式。

 

 

(後續面還有:關於BadBIOS該知道的4+1件事情)

使用 Facebook 留言

redcell6
1人給推

1.  redcell6 (發表於 2013年11月04日 09:12)
(≧▽≦)這新聞讓我想到電影地心毀滅The Core中的頂尖駭客透過口香糖的錫薄紙坐成高頻哨子~往行動電話一吹就可以終生免費打國際電話的方式!電影魔鬼終結者三中的T-X也是可以發出數據機的聲音就能連上網路 這樣的方式真的是很神奇阿!(≧▽≦)
chakotay
2人給推

2.  chakotay (發表於 2013年11月04日 10:35)
給redcell
那是真正發生的事,Apple的Jobs時年輕時,還靠賣那玩意賺過外快。
那是因為電話和數據機本來就是用音頻來播號,所以在機房那端,本來就有主機會監聽電話端傳來的訊號,並根據指令做動作,但並沒有確認對方是否是合法的來源。在數位化後,已經不能單純用音頻播號了。(但不能保證沒有用數位方式入侵)

但這個Case中,要做到這件事表示Windows、Linux、MAC都原本內建有一個程式,會自麥克風收命令。把收下來的資料,轉成可執行的程式,然後還會去執行他。(或是用溢位攻擊)

問題來了!為什麼Windows、Linux和MAC居然會有一個共通的麥克風後門?

Windows、MAC也就算了。Linux是Open Source,有這種天大的後門,怎麼可能沒人知道?這明顯是瞎掰的文。我也不太相信以T客邦的程度,看不出來此文純粹鬼扯。引出此文,只有一點是對的...那就是用Speaker和MIC可以用來傳資料...但那算什麼新聞?幾十年前的數據機做的就是一樣的事啊。

今天又不是4月1日...

順提一下,原文最後引的那一篇,作者是一個BIOS的專家。
他指出幾點不可能做到的事:
1.沒有BIOS是可以Portable的,跑在所有主機板上的。(有人會用Gigabyte的BIOS,去華碩的機板跑看看嗎?)如果有,那是8086或80286時代的事。更別說UFEI可以跑在之前BIOS的板子這種見鬼的事,而要同時發行修改全世界所有BIOS的版本,也不可能是幾個人能做到的。
2.拿到BIOS的Source是要錢的!沒Source要改也行,但你要避開Checksum太難了,更何況BIOS的Flash只有那麼一丁點大。
3.他以BIOS專家的身份證明,任何功能區塊的更動,都是很容易被發現的!根本不可能隱藏。

大概先引這幾點吧....總之,全文是寫好玩的假消息。
ZnJvbSBOQ1RVIENT
3.  ZnJvbSBOQ1RVIENT (發表於 2013年11月04日 11:20)
看了 Dragos Ruiu 的 Google+ 之後發現他並沒有說過可以經由音響設備感染,他說那比較像是殭屍網路之間的通訊,感染是經由 USB 儲存裝置。

T客邦這篇部分腦補?
janus
4.  janus (發表於 2013年11月04日 11:35)

http://arstechnica.com/security/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware-that-jumps-airgaps/
請參考採訪稿中的這部分

But the story gets stranger still. In posts here, here, and here, Ruiu posited another theory that sounds like something from the screenplay of a post-apocalyptic movie: "badBIOS," as Ruiu dubbed the malware, has the ability to use high-frequency transmissions passed between computer speakers and microphones to bridge airgaps.
janus
1人給推

6.  janus (發表於 2013年11月04日 11:58)
※ 引述《chakotay》的留言:
> Hi, Janus:
> 我追了一下消息,下文似乎更中立些。
> http://news.softpedia.com/news/BadBIOS-Malware-Reality-or-Hoax-396177.shtml
>

其實我也懷疑是Ruiu搞錯了,但是參與討論的安全專家太多,也有專家支持他的看法。個人覺得很難判斷,其實需要再觀察一陣等更多專家來釐清。但第一時間恐怕還是只能先聽Ruiu的第一手說法。

要是問我個人的意見,我個人覺得Ruiu的實驗室這三年來一直有人在惡整他比較有可能。
rho
7.  rho (發表於 2013年11月04日 12:02)
※ 引述《janus》的留言:
> has the ability to use high-frequency transmissions passed between computer speakers and microphones to bridge airgaps.

這只說明了病毒能利用高頻信號連接已被隔離的電腦,並不是指經由音響設備感染吧。

Dragos Ruiu也在Google+多次澄清了:"No these machines were probably infected via traditional means or USB. Wish folks would get off this infected by audio nonsense. The audio is only a c&c channel between infected machines to bypass air gap."
janus
8.  janus (發表於 2013年11月04日 12:25)
※ 引述《rho》的留言:
> ※ 引述《janus》的留言:
> > has the ability to use high-frequency transmissions passed between computer speakers and microphones to bridge airgaps.
>
> 這只說明了病毒能利用高頻信號連接已被隔離的電腦,並不是指經由音響設備感染吧。
>

你說的對,依照這段Ruiu的話,我把內文修正了
MOOMS
10.  MOOMS (發表於 2013年11月04日 17:42)
聽起來就像恐佈故事,要鬼扯也合理點,如果有能力寫這種病毒,那微軟肯定要被取代了,它還在跟你玩小孩子的病毒,不如去寫個智能系統,還能幫使用者自動解決系統遇到的所有問題,不懂人無知就算了,還自稱資安專家。
金大帥
11.  金大帥 (發表於 2013年11月04日 23:18)
這篇應該還是要告訴大家要裝防毒或防火牆來擋住各式各樣的網路威脅呀 (⊙ˍ⊙)
erocg
12.  erocg (發表於 2013年11月05日 01:43)
用聲波作為無線連線的媒介,應該是行得通
不過桌機很少人會裝MIC吧
Ted Chiu
13.  Ted Chiu (發表於 2013年11月05日 04:55)
喇叭有辦法發出高頻人耳聽不到的聲音?
麥克風有辦法接收這種聲音?

做得到再說

感覺很唬爛
191
14.  191 (發表於 2013年11月05日 09:19)
※ 引述《Ted Chiu》的留言:
> 喇叭有辦法發出高頻人耳聽不到的聲音?
> 麥克風有辦法接收這種聲音?
>
> 做得到再說
>
> 感覺很唬爛

這都是可以的.......
Tommy Lee
1人給推

15.  Tommy Lee (發表於 2013年11月10日 04:19)
※ 引述《Ted Chiu》的留言:
> 喇叭有辦法發出高頻人耳聽不到的聲音?
> 麥克風有辦法接收這種聲音?
>
> 做得到再說
>
> 感覺很唬爛

你可以參考一個 app "shopkick", 這個 app 利用在零售店內設置並撥放超高頻音訊資料, 當使用者手機開啟此app便可以接收並確認使用者身分, 給予 walk-in 點數. 這個 app 已經有2年以上歷史. 不知道你是哪裡覺得唬爛?

發表回應

謹慎發言,尊重彼此。按此展開留言規則