[Netzwelt] The Equation Group: Malware übersteht in Firmware von HDDs/SSDs auch Formatierung

MSX · 22 Juni 2015

Re: The Equation Group: Malware übersteht in Firmware von HDDs/SDDs auch Formatierung

Würde mich nicht wundern. Die NSA hatte ja das anscheinend auch erreichte Ziel, selbst in Festplatten ihre Ausspähsoftware unterzubringen, so wie in SIM-Karten. Bei den Festplatten gings wohl vor allem darum, jegliche Verschlüsselung umgehen und eben selbst nach dem Formatieren noch immer aktiv sein zu können.

Der Aufbau der Geräte wird immer komplexer, die Einzelteile immer kleiner, die Software wird ebenso immer komplexer. Überblicken kann das kein Normalsterblicher mehr und verstecken lässt sich dadurch imho erst recht immer einfacher irgendwelche Schadsoftware oder sonstwas. Ich glaube nicht einmal, dass so etwas nur für besondere Ziele eingesetzt wird. Was möglich ist, wird mitgenommen. Genau das ist deren Devise und das zeigen sie ständig.

Pleitgengeier · 22 Juni 2015

Warum der Aufwand?
Die NSA könnte ihre Spyware auf allen HDDs/SSDs die in den USA gefertigt werden vorinstallieren und die Hersteller müssten das ganze noch unterstützen und darüber stillschweigen bewahren.
Gleiches gilt für sämtliche Software die dort entwickelt/vertrieben wird und alle Webseiten die dort gehostet werden.

Oder ist der hier beschriebene Vorgang für die HDDs/SSDs asiatischer Hertsteller bestimmt?

TBow · 22 Juni 2015

Re: The Equation Group: Malware übersteht in Firmware von HDDs/SDDs auch Formatierung

Wie wäre es mit einem hardwarebasierten Schreibschutz?
Kostet nicht viel und wer wirklich die Speichermedien flashen will, der soll eben nen Jumper setzen. Die paar Typen, die das brauchen, werden das ja wohl hin bekommen.

tophirsch · 22 Juni 2015

Re: The Equation Group: Malware übersteht in Firmware von HDDs/SDDs auch Formatierung

MSX schrieb:
Ich glaube nicht einmal, dass so etwas nur für besondere Ziele eingesetzt wird. Was möglich ist, wird mitgenommen. Genau das ist deren Devise und das zeigen sie ständig.

Habe ich auch so bei mir gedacht, aber die Experten von Intel Security werden schon eine Grundlage für ihre Vermutung haben. Schließlich kann das Ding ja theoretisch noch entdeckt werden, bevor es sich endgültig in der Firmware eingenistet hat. Eine hohe Verbreitung würde da natürlich auch die Wahrscheinlichkeit entdeckt zu werden erhöhen. Andererseits ist es natürlich auch möglich, dass eine massenweise Verbreitung stattfindet, wenn der Code noch neu ist und nicht von Virenscannern erkannt wird. Dann könnte es gelingen(gelungen sein?), dass es der Schadcode bei vielen Systemen in die Firmware schafft und dort unerkannt in Habtachtstellung verweilt.

Sicherheit gibt's wohl in Zukunft nur, wenn man sich seine Hardware aus selbsgezüchteten Silizium Einkristallen mit Laubsäge und einigen Tropfen Sekundenkleber selbst herstellt oder wenn sie in südsibirischer Heimarbeit aus dem Stück gefeilt wird... :coffee:

Novgorod · 22 Juni 2015

wie kann's aus der firmware das system infizieren? doch nur über den treiber.. also steckt MS da drin!?

tophirsch · 23 Juni 2015

You do not have permission to view link please Anmelden or Registrieren

Hilft dir das weiter? Zugegebenermaßen reicht mein technisches Verständnis da nicht so weit, sämtliche Details zu erschließen. Soweit ich das verstanden habe wird der Bootloader bei jedem Neustart gepatcht, bevor das OS gestartet wird.

You do not have permission to view link please Anmelden or Registrieren

Im Bericht heißt es

As noted earlier, the firmware reprogramming code is specific to particular HDD/
SSD manufacturers, including Western Digital, Samsung, Maxtor, Toshiba, IBM,
and Seagate.

Metal_Warrior · 23 Juni 2015

@tophirsch:
Wenn ich dieses Flowchart richtig verstehe, dann ist der Initialvektor ja der MBR - und den kann man jederzeit neu schreiben. Im Prinzip müsste ja eigentlich die Firmware eine MBR-Abfrage mit dem Vektor auf den infizierten Speicherbereich beantworten, und dann den Schadcode den MBR auslesen und das weitere hochstarten lassen (zumindest laut Text). Insofern ist diese Graphik wohl eher irreführend, oder ich einfach zu ungebildet (lasse ich mir durchaus nachsagen, ich bin da Realist).

tophirsch · 23 Juni 2015

You do not have permission to view link please Anmelden or Registrieren

Möglicherweise ist das Chart unvollständig, ist aus einer anderen Quelle...
Ich glaube den Jungs einfach mal, dass es funktioniert

In dem Bericht stand sogar, dass in manchen Fällen selbst ein Flashen der Firmware keine Abhilfe bringt:

Persistent firmware: In some cases, the key elements of the
reprogrammed firmware will even survive reflashing (replacing) the
HDD’s or SSD’s firmware.

Metal_Warrior · 23 Juni 2015

@tophirsch:
Wenn das Reflashen der Firmware nichts mehr bringt, dann entweder, weil sich der Schadcode selbst schützt (was nur zur Laufzeit funktioniert), weil die kritische Stelle nicht bei jedem Flash überschrieben wird oder weil der Schadcode durch den MBR referenziert wird - was dann aber nichts mehr mit der Firmware zu tun hat, außer evl. dem Speicherbereich (wobei ich nicht weiß, ob der MBR überhaupt auf Firmware-Speicherbereiche referenzieren kann), und mit dem Neuschreiben des MBR definitiv Geschichte ist. Alles recht mysteriös.

tophirsch · 23 Juni 2015

Zu den Fällen, wo selbst das Flashen nix mehr bringt, gab es leider nur diese Randnotiz in dem Bericht. Aber Kaspersky hat das Teil auch schon im Februar untersucht, diesen

You do not have permission to view link please Anmelden or Registrieren

hab ich aber grad erst gefunden. Bin noch beim Lesen...

Pleitgengeier · 23 Juni 2015

Metal_Warrior schrieb:
Wenn das Reflashen der Firmware nichts mehr bringt, dann entweder, weil sich der Schadcode selbst schützt (was nur zur Laufzeit funktioniert)

Ich glaube nicht dass heute so ein Firmware-Flash noch passiv abläuft.
Normalerweise wird

der Controller gestartet (oder läuft bereits)
diesem mitgeteilt dass geflasht werden soll
nach erfolgreicher Bestätigung durch den Controller die neue Firmware + Prüfsumme gesendet
bei korrekter Prüfsumme die Übertragung bestätigt und die neue Firmware in den ROM geschrieben oder dort als aktuell referenziert

Selbst bei kleinen Mikrokontrollern (Cortex M0, M3,...) wird das heute so implementiert.
Wenn also einmal eine verseuchte Firmware aktiv ist, dann bekommt man die dort nicht mehr raus ohne den ROM zu tauschen oder von außen direkt zu beschreiben - aber ich vermute mal dass der ROM gar kein eigener IC mehr ist sondern direkt im Controller integriert ist.

Vermutlich kann man die Laufwerke retten indem man per JTAG oÄ die richtige Firmware drüberbrennt - das kann die SW auf dem Controller nämlich nicht verhindern.

tophirsch · 23 Juni 2015

You do not have permission to view link please Anmelden or Registrieren

Noch eine Stelle zur Frage gefunden, wie es der Code wieder in den MBR schafft:

Intel Security Bericht schrieb:
The hidden storage area is known only to the firmware
and it remains intact even if the HDD/SSD is reformatted.

Die veränderte Firmware überschreibt dann den MBR wahrscheinlich wieder mit Daten aus dem geschützten Bereich. Genaueres zu diesem Mechanismus hab ich aber bisher auch noch nicht gefunden...

Pleitgengeier · 23 Juni 2015

You do not have permission to view link please Anmelden or Registrieren

Bei SSDs gibt es ja auch noch die 10-20% Reservezellen, die überhaupt nur der Controller ansprechen kann.
Der kann also ganz einfach ein paar pages reservieren und fertig.

1Bratwurstbitte · 23 Juni 2015

Re: The Equation Group: Malware übersteht in Firmware von HDDs/SDDs auch Formatierung

MSX schrieb:
... Was möglich ist, wird mitgenommen. Genau das ist deren Devise und das zeigen sie ständig.

Ne, so ganz glaube ich nicht an diese Prämisse.
Wenn von High-Value-Targets gesprochen wird, dann hat man Größeres im Sinn, als den PC von Oma Ilse zu infiltrieren.
Die Infektion okay, denn je mehr Wirte schlummern, je mächtiger ist das Netzwerk, wenn man es irgendwann mal aktiviert, um die großen Ziele zu bekommen.
Hier geht es um solche Ziele wie der Bundestag, irgendwelche Zentrifugen in Kraftwerken, oder ähnliche Ziele.
Sobald solche "Kreationen" entdeckt werden, wird sich ein IT-Support darum kümmern und wenn er seine Arbeit gut macht wird er diese Sicherheitslücke schließen.

Ich kann mir nicht vorstellen, dass ein Verbund von Black-Hats wochen / monate / jahrelang an einem Exploit arbeitet, nur um ihn dann an die Adware Mafia zu verkaufen, damit die Pimmel-Pillen damit anpreisen können...

Jester · 23 Juni 2015

Re: The Equation Group: Malware übersteht in Firmware von HDDs/SDDs auch Formatierung

Die Idee hinter dieser Malware ist ziemlich umfassend und bösartig, das erste

You do not have permission to view link please Anmelden or Registrieren

(

You do not have permission to view link please Anmelden or Registrieren

, interessant auch googlen nach Blue / Red Pill PoC) ist von 2005, in the wild seit spätestens 2010.

Der erste, der afaik von den Symptomen berichtete, die er als renommierter Sicherheitsforscher (Veranstalter vom Pwn2Own und PanSecWest) über mehrere Systeme (unterschiedliche OS's (!)) hinweg nicht in den Griff bekam, war Dragos Ruiu 2013 (

You do not have permission to view link please Anmelden or Registrieren

,

You do not have permission to view link please Anmelden or Registrieren

). Komisch, dass

You do not have permission to view link please Anmelden or Registrieren

.

Arbeitsweise:
1. Infektion mit Backdoor/Dropper (Vektoren: 0-day, drive-by, spear phishing, bei APTs auch haptischer Zugriff, MitM-Wrapping von Downloads wie z. B. Systemupdates mit gültigen Zertifikaten, gerade erst wieder in der Presse)
2. Download der Payload (proprietäre Treiber/Software für die jeweilige Hardware, Subsystem & API)
3. Installation im UEFI o. Vglb. (Ein Abbild des Original Bios wird in _jedem_ Controller abgelegt, der flashbar ist - HD, CD/DVD/BD, GraKa, USB, Netzwerkkarte, ebenso wie das Abbild des infizierten MbR und der Schadsoftware)
5. Teile der HD werden als defekt markiert, sind vom System nicht mehr zugreifbar. In diesem Bereich wird eine unsichtbare Partition erstellt, die dann als I/O Base bzw. FS und Netzwerkserver dient, eine API hierfür wird eingerichtet
4. Ab hier hat der User die Hoheit über sein System vollständig, endgültig und unwiederbringlich verloren. Auf technischer Ebene (habe leider gerade keinen Link zur Hand, es aber detailliert gelesen) ist es problemlos möglich, den befallenen Rechner zu bricken, also vollständig zu zerstören.

Symptome:
1. Ein manuell durchgeführtes Bios Update wird lediglich simuliert. Änderungen am BIOS greifen nicht mehr, werden nur noch im Shadow Image gespeichert und daraus wieder angezeigt
2. Geflashte Peripherie wird über die Schattenkopien wieder in den alten, manipulierten Zustand gebracht
3. Auffällige Font-Dateien (war wohl eine frühe Version, davon war lange nichts mehr zu hören. Alternative: Registry/Encr. Code)
4. Kurzes Aufflackern des Screens beim Booten vor OS Load (frühe Version)
5. Hochfrequentes Piepsen bei Air Gapping (Ruiu)
6. Keine Bootfähigkeit von CD/DVD wg. fehlendem Zugriff auf BIOS (frühe Version)

Verbreitungsvektor:
1. USB Driver

Inselsystem / Gapping:
Die Software bringt die Fähigkeit mit, im Ultrasonic-Bereich (25 KHz+) über Mic/Speaker mit anderen Rechnern zu kommunizieren (Alternative: LEDs / optische Kommunikation, PoCs dafür gibt es reichlich). Nach der Infektion über USB benutzt der isolierte Rechner Schallwellen, um über einen am Internet hängenden, ebenfalls infizierten Rechner Daten zu laden und zu versenden.

(...)

Wenn man das alles (ich habe für alle beschriebenen Dinge PoCs gesehen oder von Samples gelesen) mit Aussagen der Amerikaner in Verbindung bringt, wie z.B.

You do not have permission to view link please Anmelden or Registrieren

, ergibt sich daraus folgendes, höchst erschreckendes Szenario:

1. Es sind weltweit so viele Rechner damit infiziert worden, dass das das größte Botnet ever sein dürfte
2. Über Manipulation von neuer Hardware und die oben beschriebenen Aktionen (s. NSA-Skandal, proven) wird sichergestellt, dass dieser Zustand anhält
3. Die USA (wahlweise alle Buchstaben der 5 eyes) können jeden Rechner in ihrem Einfluss per Knopfdruck vollständig zerstören oder für DDoS etc. verwenden)
4. und haben Zugriff teilweise selbst auf isolierte Systeme und deren sensible Daten, völlig unabhängig von den verwendeten OS's Da die Amis völlig gaga sind, würde mich auch eine Lösung für Amiga OS nicht wirklich wundern.
5. Shice auf Privatsphäre / Anonymität, das ist seit Jahren Geschichte. Tor? rofl
6. Die Information, was Board Member X als Admin eines anderen, illegalen Borads (hey PP

) über VPN macht, ist definitiv gespeichert und verwertbar - auf diesem Weg werden z. B. Menschenhändler- und CP-Ringe sowie Drogen- und Waffenmarktplätze ausgehoben. Wer weiß, wie das weiter geht. Eine Frage der Lobbyarbeit *hust*

BADBios, StuxNet, Flame und Konsorten waren alles nur Teilösungen oder Evolutionsstufen für das große Ganze, wir müssen davon ausgehen, dass wir nur einen Teil dieses perfiden Systems kennen. Das mag sich jetzt nach Verschwörungstheorie und Verfolgungswahn anhören, ist es aber nicht.

TL;DR

Schachmatt.

Glossar:
PoC - Proof of Concept (belegte Durchführbarkeit/Machbarkeit eines Angriffs-Szenarios)
Blue Pill/Red Pill - Hypervisor-PoCs / Paravirtualization (Root-)Kits
Hypervisor - virtualisiertes System
OS - Operating System (Betriebssystem)
FS - File System
Dropper - Kleines Stealth-Downloadprogramm, das die Payload nachlädt und installiert
MitM - Man in the Middle
MbR - Master Boot Record
Air Gapping - besondere Sicherung eines wichtigen Rechners durch Isolierung vom Netzwerk
APT - Advanced Persistent Threat (alle pöhze Software, die in der Schöpfung so teuer gewesen sein muss und derart komplex ist, dass sich sowas nur Staaten/Geheimdienste leisten können)

Bruder Mad · 23 Juni 2015

C64, anyone?

Mal im Ernst: Gewisse Dinge müsste man doch nachweisen können, oder?
Und dementsprechend müsste da dann doch was von in den Medien zu lesen sein...
Und entsprechende Gegenmaßnahmen sollten dann doch auch durchführbar sein.

Oder müssen wir alle wieder "back to the roots"?

Pleitgengeier · 23 Juni 2015

Interessant wird nun die Reaktion der amerikanischen und der asiatischen betroffenen HW-Hersteller...

Die Kommunikation über Ultraschall ist zwar einfach und wirkungsvoll, hat aber einige beträchtliche Probleme:

Die Bandbreite ist sehr gering, vor allem beschränkt durch die niedrige Samplingrate von Audio-HW. Der Großteil des nutzbaren Frequenzbandes fällt weg weil er hörbar ist.
Die Methode ist wohlbekannt (wurde zB selbst schon zum auslesen von Systemdaten aus Apple-Geräten benutzt, um Jailbreaks zu fertigen) und einfach zu detektieren: Ein Mikrofon und ein Hochpass reicht. Jede 3.-Welt-Spionageabwehr bekommt das hin.
Die wirklich interessanten Systeme für sowas (ich nehme mal an dass diese Methode nicht eingesetzt wird um die Musiksammlung von Otto Normalverbrauchers Mediacenter zu kopieren) sind eher Server, und diese haben weder Soundkarten noch Lautsprecher.

Die optische Kommunikation über LEDs ist zwar wesentlich schneller, aber außer den Power-/Statusleds dürften die meisten Systeme nichts geeignetes haben - von Empfängern ganz zu schweigen. Noch dazu ist Sichtkontakt notwendig.

Aber jede Wette dass das Ding vor allem Smartphones betrifft. Ich schreibe das nicht zum ersten mal: Jedes Smartphone ist eine potentielle Wanze.
Damit ist auch klar, wer über Internetverbindung und Audioempfang verfügt, für die Kommunikation über Schall...

Jester · 23 Juni 2015

You do not have permission to view link please Anmelden or Registrieren

Die einzige Methode, den Befall zu beweisen bzw. festzustellen, wäre ein Auslesen der Geräte Flashs und/oder MbR von extern. Denkbar wäre aber, dass das externe Gerät ebenfalls befallen ist und nur die Schattenkopien ausliefert, die gar nicht aktiv sind. *Paranoia* ^^

C64 ist toll, weil nix an der Kiste flashbar ist - muss meinen mal wieder ausbuddeln

You do not have permission to view link please Anmelden or Registrieren

Das Feature des Air Gapping ist eigentlich nur ein winziges Bestandteil des Ganzen. Nachgewiesen wurden Übertragungsraten von ca. 4 KiB - unter guten Bedingungen.

Bruder Mad · 23 Juni 2015

Ich stelle mir nur gerade die Frage, wie so eine Infektion mit BadBios vor sich gehen soll?
Dein Punkt 2... Es gibt 1000de verschiedene Bios-Versionen, da müsste ja wirklich für
jedes BIOS irgendwo eine passende Routine hinterlegt sein...

--- [2015-06-23 13:14 CEST] Automatisch zusammengeführter Beitrag ---

Wo steckt eigentlich der Fisch? Bastelt der etwa schon an BadBIOS V3?

[Netzwelt] The Equation Group: Malware übersteht in Firmware von HDDs/SSDs auch Formatierung

Weitere

MSX

Retro-Nerd-Hippie

Pleitgengeier

offizielles GEZ-Haustier

TBow

The REAL Cheshire Cat

tophirsch

erster Hirsch am Platze

Novgorod

ngb-Nutte

tophirsch

erster Hirsch am Platze

Metal_Warrior

Defender of Freedom

tophirsch

erster Hirsch am Platze

Metal_Warrior

Defender of Freedom

tophirsch

erster Hirsch am Platze

Pleitgengeier

offizielles GEZ-Haustier

tophirsch

erster Hirsch am Platze

Pleitgengeier

offizielles GEZ-Haustier

1Bratwurstbitte

gesperrt

Jester

★★★★☆ (Kasparski)

Bruder Mad

Pottblach™

Pleitgengeier

offizielles GEZ-Haustier

Jester

★★★★☆ (Kasparski)

Bruder Mad

Pottblach™