Muchos estábamos en cierto modo preocupados por los virus convencionales, aquellos que se cuelan en nuestro ordenador e infectan nuestro sistema operativo. Puede que eso dentro de no mucho quede obsoleto y los virus acaben infectando el firmware de los dispositivos que forman parte de nuestro PC. Así lo ha demostrado Jonathan Brossard, investigador de seguridad, durante las conferencias Black Hat y Defcon.
Rakshasa, que así se llama el invento, infectaría la BIOS del ordenador. No es el primero que hace esto; no obstante el ingenio viene en el modo en el que permanecería persistente en el sistema. Además de infectar la BIOS infectaría el firmware de los dispositivos conectados al sistema, como unidades de CD/DVD, tarjetas PCI, e incluso adaptadores de red (que recibirían un software adicional, luego explico para qué).
La cuestión es que para limpiar esta infección no sólo sería necesario reflashear la BIOS de la placa base: habría que reflashear todos y cada uno de los componentes del sistema, y en algunos casos son necesarias herramientas software/hardware específicas. De no hacer así, el malware de la unidad de CD (por poner el caso) podría reflashear la BIOS. Y para reflashear la BIOS del sistema puede no ser necesario acceso físico a la máquina: todos conocemos herramientas software que se encargan de ello.
Otro detalle interesante es que el software insertado en el firmware de la tarjeta de red tiene capacidad de realizar un arranque desde software obtenido vía red local: la versión modificada de iPXE sería capaz de cargar un bootkit (malware que arranca antes que el sistema operativo y, por tanto, antes que la mayoría de productos de seguridad). En lugar de insertar el malware en el MBR se descargaría cada vez que se encendiera el ordenador, dificultando su detección limpieza. Y no se toca un sólo byte del sistema de archivos.
Y lo más interesante de todo: una vez el bootkit realiza su función puede borrarse de la memoria RAM del sistema, de manera que un análisis en caliente tampoco serviría para detectarlo. Lo más interesante de esta clase de malware, realmente, es que es extremadamente complicado detectarlo: los productos convencionales no están diseñados (y por tanto no son efectivos) para este tipo de amenazas. Quizá las empresas de seguridad deban plantearse construir nuevos métodos para proteger nuestros sistemas.
Este malware ha sido construido en su totalidad mediante herramientas libremente disponibles en la red, open source, y por suerte no ha sido hecho público. Hay información más detallada en el paper publicado con motivo de la conferencia Black Hat.
Vía | ComputerWorld
Imagen | Enric Martinez
Ver 24 comentarios