无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站广告联系 微信:wuyouceo QQ:184822951
查看: 2803|回复: 6

拔掉网线/WiFi/蓝牙后,还能继续扩散的电脑病毒

[复制链接]
发表于 2015-10-4 20:46:40 | 显示全部楼层 |阅读模式
http://www.ithome.com/html/it/57242.htm
在拔掉网线、Wi-Fi、蓝牙之后,竟然还有电脑病毒可以继续扩散,听起来就像是科幻小说的故事一样。但是,这种病毒已经在三年前就出现了,而且资安专家到现在还无法确认到底要如何清除它,以及它真正的扩散原因是什么。
安全专家,同时也是Pwn2Own骇客挑战赛的创办人Dragos Ruiu,前几天在接受Ars Technica访问的时候,透露了一件这三年来一直困扰他的怪事。事情离奇的程度,对于任何关心资讯安全的人听起来,简直就像僵尸电影一样恐怖离奇。

▲Dragos Ruiu
三年前,Dragos Ruiu在他的实验室里头,才刚刚帮他的MacBook Air更新了OS X,之后没多久他就注意到一件奇怪的事情:他的笔电在自动更新BIOS。然后当他尝试要从光盘启动电脑的时候,被电脑拒绝了。他同时也发现他的电脑会自动删除某些资料,并且在没有任何提示的情况下,把一些原本弄好的设定给恢复回来。事情虽然古怪,但当时因为时间已经很晚了,加上他想或许是新装好的系统哪里步骤出了错,也不以为意,就去睡觉了。
结果在接下来的几个月,发生在Dragos Ruiu身上的事情简直就是科幻恐怖片的情节:他实验室中一台执行Open BSD系统的电脑也开始自作主张地删除资料,以及自动调整设定;他发现网络内有些资料通过IPv6在传输数据,甚至是从那些原本已经把电脑的IPv6协定关闭的电脑;最离奇的是,这些被感染的机器,就算是拔除了网线、移掉了Wi- Fi、蓝牙,依然还是能感染到实验室中其他的电脑,而且还横跨了Windows、Linux等不同的平台。

▲这种病毒顽强的程度就跟僵尸一样。
最后,Dragos Ruiu做了所有资安专家都会做的事情:他将实验室中所有的系统都重新清除再安装。但是,在接下来的这三年间,这个感染依然断断续续地发生,就像是细菌增生一样。他只好一遍又一遍地重复这样的动作。
病毒最明显的征兆是被感染的电脑都无法从光碟机开机启动,不过为了侦测出更多关于病毒的行为,他采用了一些类似Process Monitor的工具,用来观察病毒的行为。由这里他发现更惊人的是,他采用了「airgaps」的设计来隔绝受感染以及可能受感染的电脑,「airgaps」的意思就是将这些电脑完整地隔绝在实验室的网络之外,不管是有线或是无线的,就算采取这样的措施,这些病毒似乎还有自我治疗的能力。

airgaps是用来将电脑隔绝一切接触外界环境的程序。
“有一台受感染的电脑采用了airgaps的措施,我们重装了他的BIOS,全新没有任何资料的硬盘也刚装上去,通过原版Windows安装光盘装上了系统。”Ruiu对采访的记者表示,“没有多久,当我们要安装我们的Process Monitor工具时,我们发现这台电脑的registry编辑器被disabled了。这时我们不由得想:嘿,这真是太不科学了!这台电脑怎么可能去攻击我们正准备要用来攻击他的程式?我的意思是说,这是一台已经采用过airgaps隔绝的机器,然后就当我们正准备通过registry编辑器去搜寻病毒特征的时候,所有的搜寻功能就被禁止了!”

遇到这种事,就连资安专家Ruiu也无计可施。他在接下来的两周在他的Twitter、Facebook、Google+上都描述了他对于这个病毒的调查,而这也引起世界上其他的顶尖资安专家的注意。
Ruiu认为这个病毒是通过USB装置感染了电脑的底层硬件,攻击了电脑的BIOS、UEFI,也可能感染了其他的韧件装置。这个病毒可以攻击多种的平台,逃避一般的侦测方式,以及从各种企图毁灭它的行为中存活下来。其中,最困扰Ruiu的一点是,当所有的网络都被隔绝之后,这个病毒到底是用什么方式扩散传染给其他的电脑?

但是随着这个事件继续的侦察下去,Ruiu在一次意外中发现,随着他移除了电脑内部的扬声器以及麦克风之后,电脑的感染状况竟然奇迹似停止了。在他尝试了几台电脑都得到这样的结果之后,他判断,病毒是利用扬声器发出一种人耳侦测不到的高频声音,而通过另一台电脑的麦克风接收到这个高频,以此来进行病毒的扩散方式。
是网络谣言吗?
一开始,很多资讯媒体都怀疑这则离奇的故事是网络谣言、资讯界的乡野传说,或是只是一些对病毒不了解的人的误解。而且,Ruiu也询问了好几个资安专家,没有一个人发现过类似的病毒。
虽然Ruiu身为资安领域的专家,以及黑客挑战赛的创办人,他毫无疑问当然是黑客攻击的目标。但是他并没有比其他上千位的同领域专家更值得成为独立的目标,而至今这个案例三年来只有发生在他身上,也让人感到怀疑。
不过,也有很多安全专家站在他这一边。网络犯罪专家Alex Stamos,就在他的Twitter上写着“所有在资安圈子的朋友,都该Follow @dragosr,并且看他怎么分析#badBIOS”。

Jeff Moss,美国知名Hacker,「Defcon and Blackhat security conferences」创办者,同时也是美国国土安全局资安顾问。他也对这件事情感到关切:“毫无疑问的,这是一件很严重的事情。”

▲Jeff Moss
资安学者Arrigo Triulzi则在接受采访时表示:“Dragos绝对是一个值得信任的朋友,我不怀疑他讲的内容的真实性。他所描述的内容在科幻小说中并不特别,只是我们没有在现实生活中见过而已。”
关于BadBIOS该知道的4+1件事情
根据heavy tech整理的后续发展,关于被Ruiu称为BadBios的这个病毒,有4件事情(原文是5件,但是第5件可以略过不提)你应该要知道,最后我们再加上一个持不同意见的BIOS专家的观点连结:
1.病毒可能是通过高频或是高超频声波传递
一般人觉得最感兴趣,或是最惊悚的部分,就是病毒可以通过声波来传递,实现自我修复的功能,原理简图如下:

2.有些人宣称这在物理上不科学,他们错了。

正如上面这位Eric Hill所说,他不相信有病毒能够在airgap的隔绝之下,还能够散布的。任何读过资讯相关科系的学生应该都有这种根深蒂固的印象,只要采取了这种隔绝,在物理上病毒就不可能传布的出去。
但事实上他错了,我们以前学的资安理论关于airgap的部分也错了。利用声波来传递电脑资料,原理就类似早期Apple II时代的磁带机,将资料记录在录音带上,如果你把磁带拿去一般的播放器播放,会传出吱吱嘎嘎的声音,那就是资料的声音。

资料通过声音来传递,在理论上是可行的。但是因为空气中存在太多的干扰,随便有其他的声音就会破坏资料的正确性,所以必须要反覆传递同样的资料用来纠错,传输率会变得相当慢。但理论上的确可行。至于利用超高频来传递资料,受到的干扰应该更少。
资安公司Errata Security的CEO--Rob Graham表示:根据Dragos在报告中所描述的所有事情,其实并非不能做到的。如果给我一年的时间,我想我可以写出一个如他所描述的「badBios」病毒所能做到的事情的病毒,通过超高频声波来传递资料,其实真的不是一件难事。
3.祸首应该是来自USB随身盘
Dragos表示,到目前为止他的调查怀疑BIOS在读取USB随身盘的时候,受到了某种buffer overflow攻击。这个程式会重写flash controller,然后在BIOS table里头加了其它定义的东西进去。

4.Dragos有释放出一部份遭到感染的文件档案供人分析
他在10月25号于自己的Google+上,有放上一部份的档案让其它的专家来帮忙分析。

But,这些专家的想法可能全错了
最后,还有一位对BIOS有研究的专家,认为上面这些病毒专家对于BadBios的分析全都错了,认为这些专家根本就不懂BIOS,并且将上述的论证加以反驳。但是,其中关于论证的部分写得太专业了,或许有资工背景的朋友,可以看懂他在说什么,再来提供给大家参考。

网址:The badBIOS Analysis Is Wrong
发表于 2015-10-4 21:33:59 | 显示全部楼层
太科幻了,看不懂。
回复

使用道具 举报

发表于 2015-10-5 10:03:10 | 显示全部楼层
科幻片是吧?
回复

使用道具 举报

发表于 2015-10-5 13:52:38 | 显示全部楼层
理论上世界上可以存在任何离奇的事,
当我看了关于“尼古拉·特斯拉”的一些记录片,也晕了
回复

使用道具 举报

发表于 2015-10-5 16:42:26 | 显示全部楼层
还是觉得不靠谱啊,难道电脑出厂时就有通过话筒接收程序的功能?
回复

使用道具 举报

发表于 2015-10-5 23:13:38 | 显示全部楼层
嘿嘿,哪年愚人节的故事又被翻出来晒了。
回复

使用道具 举报

发表于 2015-10-7 19:58:02 | 显示全部楼层
就是U盘呗
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-3-29 02:41

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表