Super-Malware BadBIOS nistet sich in BIOS ein

@define

define schrieb:Was wäre wen ;)

Du bist jetzt schon der(die) Vierte(r), wo das "n" bei "wenn" fehlt.
Ich fürchte langsam, das kommt in Mode, sich dieses zu sparen. Wäre ja nicht schlimm, wenn man dann nicht laufend überlegen müsste (dies den Lesefluss stören würde), ob nun "wen" oder "wenn" gemeint ist. ;)

Aber zu Deinem Beitrag: finde ich sehr beruhigend. und plausibel. :)

Es ist so wie zaeld es schrieb. der-Ferengi hatte mit den 64kB nicht unrecht, aber das war früher der Fall gewesen. Anfangs waren Bios auf Eprom Chips die mit UV-Licht gelöscht werden konnten und diese Chips konnten durch einen Eprom-Brenner (ein externes Gerät) wieder beschrieben werden.
Möchte aber noch ein paar Zitate aus vorhergehenden Seiten zurückkommen

Batterie raus, drei Minuten warten und wieder einlegen und das Problem dürfte gelöst sein.

Das setzt nur die Bioseinstellungen auf Standardwerte zurück, tastet das Bios selbst (das Programm) nicht an, ist ein vermurkstes Bios drauf, läuft der PC nicht mehr.

Ne, die Standard-Bios Einstellungen sind dauerhaft gespeichert und gehen nicht verloren, wenn
der Strom wegfällt.

Richtig, aber nur die Parameter im Bios (Bootreihenfolge,Spannungen CPU-Takt usw), nicht das Bios selbst, selbiges wie oben

Weiß nicht mehr WER es gestern Abend sagte, aber man kann das
BIOS wohl auch vom laufenden OS flashen.

Das geht garantiert, Asus und andere Hersteller hatten oder haben ein Flashtool das im laufenden OS-Betrieb ein Bios flasht.

Also man müsste anschließend die Datei finden, die das Bios flashed.

Jep denke ich auch, damit ein Bios überschrieben werden kann, muss die Malware ein Flashtool sein, das eine Überschreibung des Bios auslöst.

ist dann das "ehemalige" Bios noch vorhanden, um nach dem Stromausfall wieder wirksam werden zu können?

Da einigen Kunden ihr Bios versaut hatten, weil sie falsche Version aufspielten oder während dem Flashvorgang was schief ging, haben Motherboardhersteller Dual-Bios erfunden, d.h. falls was schief geht beim Flashen, ist die Usrsprüngliche Bios Version noch vorhanden und es wird diese aktiv.

MarvLie schrieb am 04.11.2013:Heutzutage wird das Bios in einer vereinfachten Programiersprache geschrieben kompiliert und anschließend drauf gespielt.

Jep und das was am Ende rauskommt nach dem Compilieren ist Maschinencode d.h. Bits; nur das lässt sich abarbeiten beim booten. Würde man es aber direkt von A-Z händisch in Maschinencode schreiben, wäre der Code kleiner und somit effizienter, weile es keine Compilierung durchlaufen musste..aber das macht heute kaum noch wer (vielleicht die NASA für ihre Satellitensteuerungen), es ist aufwendiger/komplizierter.

MarvLie schrieb am 04.11.2013:Das schwierige ist nicht es zu Manipulieren das schwierige ist Software zu schreiben die auf unterschiedlicher Hard und Software ohne Probleme läuft.

Das dürfte der springende Punkt sein. Mal angenommen jemand schreibt ein Flashtool das unter Windows läuft, muss dieses Tool in der Lage sein das Bios Mainboards unterschiedlicher Hersteller überschreiben zu können. Es gibt hunderte verschiedene Boards, man müsste sie sich stark einschränken, so dass es nur auf bestimmten Mainboards gelingt.

Ein Bios flashen das nen PC ausser Funktion setzt, d.h. er bootet dann einfach nicht mehr, weil ein nicht funktionsfähiges Bios geflasht wurde, wäre denkbar, aber wie gesagt gibt es heute DualBios.

Ein Funktionierendes Bios flashen, so dass der User nichts bemerkt, Bios die aber eine Malware enthält, dürfte sehr schwierig werden, da es kein NormBios gibt, es gibt zig verschiedene Bios und Mainboard Hardware, ein Bit falsch und das Bios läuft nicht mehr.

Es müssten hunderte modifizierte Bios angepasst werden, damit eine vernünftig hohe Chance besteht, dass der Code auch auf das verwendete Mainboard passt und damit aufgespielt werden kann, die Kiste soll ja danach noch laufen.

Das Bios soll dann noch was böses tun, nur die Möglichkeiten sind beschränkt im Bios. Das Bios könnte Überspannung auf das Ram geben und es vielleicht zerstören, aber die Malware im Bios könnte keine Software unter einem OS steuern, Daten klauen und diese versenden.

Die Idee ist vielleicht eher die, dass die Malware sich unbemerkt in freie Bereiche eines Bios schreibt (sofern es solche gibt?) dort aber nichts tun kann, weil der Code nur unter Windofs lauffähig ist. Löscht man aber nun die Malware unter dem OS weg, kopiert sich dieser Code vom Bios wieder auf die SSD/Harddisk.

Ein Virenscanner schlägt vielleicht Alarm und putz die Malware weg, sie kopiert sich aber dann wieder vom Bios auf die Platte und wird da erst wieder aktiv. Ob sowas möglich wäre kann ich nicht mit Sicherheit sagen.

So ein Unfug, es gibt keinen universellen Maschinencode der die Firmware aller Mainboards überschreiben kann, schlichtweg aufgrund fehlender Kompabilität. Der Befehl xy kann je nach Prozessorarchitektur z.B. 1001 oder auch 1010 bedeuten. Das ist nicht wohldefiniert.

Universelle Firmware gibt es nicht, aber wenn es nur darum geht die die Firmware unbrauchbar zu machen spielt die CPU-Architektur auch keine Rolle bzw. ich muss dann nur wissen wie ich an den Flash ran komme, die Firmware löschen bzw. mit sinnlosen Bits überschreiben kann.

Soll es eine modifizierte Firmware sein die auch funktioniert, muss sie auf die Mainbordhardware angepasst sein. Zum Beispiel ne Firmware eines bestimmten Mainboards auf der Herstellerseite downloaden und es verändern. Wer dieses Board im PC hat, bekommt die veränderte Firmware spendiert.

mayday schrieb:Es müssten hunderte modifizierte Bios angepasst werden

Bei diesen Geschichten geht es doch nur darum, möglichst viele Rechner zu infizieren. Und dafür genügt es, sich die verbreitetste Hardware herauszusuchen und für diese die Malware anzupassen.

Möglich aber klassisches Bios bedingt eine spezifische Hardwareprogrammierung und jeden Monat kommen neue Mainboards auf den Markt, was das doch nicht sehr lukrativ machen würde.

Glaube mein Stand war veraltet, es geht vermutlich nicht um das klassische Bios, eines unmittelbar nach der Hardware Ebene, sondern um neue Möglichkeiten mit dem erweitertem Standard UEFI, was moderne Mainboards bieten. Guckt mal was hier möglich ist Wikipedia: Unified Extensible Firmware Interface

u.a.
-Eingebettetes Netzwerkmodul
-eine Shell über die beispielsweise EFI-Applikationen (*.efi) aufgerufen werden können
-Treiber können als Modul in das EFI integriert werden, so dass sie nicht mehr vom Betriebssystem geladen werden müssen. Damit sind, wie bei Open Firmware, systemunabhängige Treiber möglich.
-Das System kann in einem Sandbox-Modus betrieben werden, bei dem Netzwerk- und Speicherverwaltung auf der Firmware laufen anstatt auf dem Betriebssystem.

Kann mir jetzt auch vorstellen, dass damit Unfug angestellt werden könnte!

mathematiker schrieb:So ein Unfug, es gibt keinen universellen Maschinencode der die Firmware aller Mainboards überschreiben kann, schlichtweg aufgrund fehlender Kompabilität. Der Befehl xy kann je nach Prozessorarchitektur z.B. 1001 oder auch 1010 bedeuten. Das ist nicht wohldefiniert.

De facto haben wir aber auf den normalen Rechnern nur eine Prozessorarchitektur, nämlich x86. Ein Netbook oder Laptop auf ARM-Basis wird man wohl vergeblich suchen, geschweige denn bei den normalen PCs.

Der Schadcode, den man da einbringen möchte, muß auch gar nicht an die jeweilige Hardware angepaßt sein, um "nützliche" Dinge anzustellen. Das normale BIOS kann seine Arbeit ja unabhängig von dem Virus verrichten, und der Virus klinkt sich nur zusätzlich ein.

Beispiel:

Normales BIOS:

Speichergröße fürs BIOS: 2 MB
davon benötigt das BIOS: 1 MB
Belegte Adressen also: 0 - 1.000.000

Beim Einschalten des Computers beginnt der Prozessor, das Programm ab Adresse 0 abzuarbeiten, also das BIOS durchzuführen.

Infiziertes BIOS:

Virus ist 100K groß und installiert sich ans Ende des verfügbaren Speichers.

Vom Virus belegte Adressen: 1.900.000 - 2.000.000

Außerdem überschreibt er Adresse 0 mit einem Sprungbefehl auf den Virus. Das läuft dann am Ende so ab:

Computer wird eingeschaltet, Prozessor startet an Adresse 0, sieht dort einen Sprungbefehl auf den Virus, springt zu Adresse 1.900.000, führt den Virus aus. Der Virus springt am Ende auf Adresse 1 (eins hinter dem Sprungbefehl) und führt das normale BIOS durch.

Das ist natürlich eine extrem vereinfachte Darstellung, in echt ist das nicht ganz so simpel. Aber so kann prinzipiell ein Virus im BIOS funktionieren.

Zäld

@zaeld Aber wenn man die Battarie rausnimmt für 3 Minuten ist doch der CMOS-RAM gelöscht.
Das Standarteinstellungen und das Bios überhaupt stehen doch in einem read-only-Speicher, der
ohne Strom Daten gespeichert hält.
Also, der Virus wäre somit entfernt...oder nicht?

zaeld schrieb:führt den Virus aus

Denke es dreht sich um die (U)EFI-Schnittstelle neuerer Boards, nicht klassisches Bios. EFI und deren Möglichkeiten. Hier sollten wir weiter nachbohren z.B. was denn so eigene EFI-Applikationen für Möglichkeiten haben, was diese anstellen könnten und möglicherweise ist es möglich eine Netzwerkverbindung im Bios (über EFI) her zu stellen ohne dass ein OS geladen ist.

..das macht mir sorgen

Dank (U)EFI gibt es eine einheitliche Schnittstelle um im BIOS Daten und Programme abzulegen. Win8(.1) nutzt es um die Bootsequenz auf "boot to BIOS Setup" umzustellen. Dass also tatsächlich ein EFI Virus irgendwann auftaucht wäre kein Wunder.

Sehs schon hab die Entwicklung echt verschlafen, ältere Meldung aus 2008..Spiele im Bios? xD
http://www.chip.de/artikel/EFI-Der-Nachfolger-des-BIOS-3_31716406.html (Archiv-Version vom 05.11.2013)

@Orbiter...

Orbiter... schrieb:Aber wenn man die Battarie rausnimmt für 3 Minuten ist doch der CMOS-RAM gelöscht.

Also früher war das so, daß das BIOS-Programm in einem (E)PROM gespeichert wurde, den man nicht so einfach überschreiben konnte. Die einstellbaren Parameter wurden in einem separaten Baustein gespeichert, das war ein batteriegepuffertes, ziemlich kleines RAM. Die Einstellungen waren dann weg, wenn man den Strom komplett weggenommen hat.

Aber heutzutage ist das wohl nicht mehr der Fall, auch wenn ich's konkret jetzt gar nicht weiß. Aus Kostengründen würde ich das jedenfalls alles in einem einzigen Flash-Baustein speichern. Und da man das BIOS ohne Ausbauen irgendwelcher Bausteine neu programmieren kann (also "flashen"), kann das ein Virus das auch tun.

Die Batterie auf dem Mainboard ist nach meiner Schätzung nur noch für die Uhrzeit notwendig. Aber wie gesagt, ganz genau weiß ich das nicht.

Orbiter... schrieb:Das Standarteinstellungen und das Bios überhaupt stehen doch in einem read-only-Speicher, der
ohne Strom Daten gespeichert hält.
Also, der Virus wäre somit entfernt...oder nicht?

Wie gesagt: Heutzutage steht das BIOS in einem elektrisch löschbaren Speicher (also dasselbe wie in USB-Sticks oder SD-Karten). Sonst könnte man das BIOS nicht einfach neu flashen. Und wenn man das BIOS flashen kann, dann kann sich da auch ein Virus reinschreiben.

mayday schrieb:Denke es dreht sich um die (U)EFI-Schnittstelle neuerer Boards, nicht klassisches Bios.

Hm, das habe ich jetzt nicht genauer verfolgt. Ein Virus ins "alte" BIOS zu schreiben stelle ich mir aber einfacher vor, weil das aus Zeiten stammt, in denen sich noch keine Gedanken um Sicherheit gemacht hat. Ist ein ganz normaler Speicher, den man überschreiben kann, und dann wird eben ein anderes Programm ausgeführt.

Zäld

UEFI ist eine Schicht über dem klassischen Bios


Tatsächlich steckt in jeder UEFI-Firmware ein EFI-Byte-Code-(EBC-)Interpreter, der für EFI geschriebene Programme und Treiber ausführt. UEFI ist Quasi in mini OS für sich, das beim booten funktioniert


Kaspersky nutzt bereits heute UEFI um vor dem laden des Betreibsystem auf dieser das RAM zu scannen.
http://www.kaspersky.com/about/news/product/2013/kaspersky-lab-presents-worlds-first-anti-valware-product-for-uefi (Archiv-Version vom 22.12.2013)

man kann sich das auch so verstellen, dass ne art Apps geschrieben werden können, die zusätzlich zum Bios existieren..und das bietet Chancen sinnvolles zu tun, aber vielleicht auch Gefahren für Malware die damit was anstellen. Hier hat Gygabyte solche "Apps" geschrieben

Der BIOS-Virus ist schon seit den 90ern so ein Schreckgespenst, kam aber bisher nie, zumindest nicht in einer wirksamen Form. Eine Vapourmalware sozusagen. Das flashbare BIOS und UEFI bieten aber natürlich nicht nur für den Nutzer mehr Möglichkeiten, sondern auch für Malware. Selbst wenn ein umfassender Angriff auf eine einzige Revision eines einzigen Modells eines großen Herstellers gelingen sollte, wäre der unmittelbare Schaden groß, und die Auswirkungen des Machbarkeitsbeweises eines solchen Angriffes eventuell gewaltig.

@zaeld Soviel hab ich herausgefunden : Durch herausnehmen der Battarie oder Umstecken eines Jumpers werden die Bios-Eistellungen auf default zurückgesetzt. Das heisst alle manuellen Veränderungen werden gelöscht.

Auf modernen Pcs wird alles auf EEproms oder Flashspeichern gespeichert. Aber wenn mal
das Bios "defekt" ist oder mit einem Virus befallen ist, kann man immernoch mit einem Laufwerk mit
Datenträger booten und so das bios evtl erneut flashen (oder jumper umstecken). Ich meine lange Zeit ging das booten von einem bios mit einer Diskette, aber wie
das heute möglich ist, ka.

Das würde bedeuten, man müsste das bios nur mit der firmware flashen und das Problem
wäre gelöst, bei einem Virenbefall.

Der Eeprom oder Flashspeicher ist ja vollständig elektrisch beeinflussbar und somit komplett beschreibbar.

Wahrscheinlich müsste man sich mit dem Herstellersupport auseinandersetzen, aber reparabel
bleibt ein solcher Virenbefall trotzdem...

@Orbiter...
Nein, du brauchst das BIOS um von einem Datenträger booten zu können. Du kannst nicht mithilfe des BIOS booten um ein neues BIOS aufzuspielen wenn das BIOS nicht mehr funktioniert. Ein Mainboard mit kaputtem BIOS kann nur mehr gerettet werden indem man den Chip auslötet(oder bei manchen, vor allem älteren Modellen aus einer Fassung zieht) und mit einem Programmer an einem funktionierenden Rechner neu beschreibt. Was meinst du warum GigaByte das Dual BIOS anbietet, eben damit man noch booten kann wenn ein BIOS kaputt ist.

@gerhard86 In wiki steht aber das man ein bios auch vom Datenträger laden kann.
Aber wie auch immer.... neue Technik ist eben anfälliger.

Würden die wie früher nur Eprom verwenden, gäbs weniger Sicherheitslücken...

wiki ->

Mit der Zeit entwickelten American Megatrends, Award Software, Phoenix und andere Hersteller „BootBlock“/Wiederherstellungs-BIOS-Bereiche, die bei einem Flash-Vorgang dann normalerweise nicht mehr überschrieben werden. Schlug der Flash-Vorgang fehl, startet das „BootBlock“/Wiederherstellungs-BIOS und ermöglicht es, von Diskette zu booten. Bei einigen BIOS-Varianten kann sogar eine spezielle Wiederherstellungs-CD/-Diskette erstellt werden, die auch bei einem defektem BIOS durch Setzen eines Jumpers automatisch das BIOS wiederherstellt.

Naja... es ermöglicht von einer Diskette zu booten...

Ist eh alles von Hersteller zu Hersteller unterschiedlich

Orbiter... schrieb:Bei einigen BIOS-Varianten kann sogar eine spezielle Wiederherstellungs-CD/-Diskette erstellt werden, die auch bei einem defektem BIOS durch Setzen eines Jumpers automatisch das BIOS wiederherstellt.

Wenn das vorhandene BIOS noch die entsprechenden Funktionen hat, dann kann das hinhauen. Kommt eben drauf an was zerstört wird. Wenn die Malware nur auf Weiterverbreitung und nicht auf Zerstörung ausgelegt ist, kann man sie vielleicht sogar mit dem normalen Herstellertool per BIOS-Update überschreiben. Der Text sagt aber auch, dass diese Schutzfunktion dazu gedacht ist einen Unfall beim Flashen zu korrigieren, also beispielsweise einen Stromausfall während der Rechner gerade das alte BIOS überschreibt. Das ist nicht unbedingt ein Schutz gegen Sabotage.

Prinzipiell ist das BIOS und die im selben Chip enthaltenen Treiber für die Mainboardperipherie das Stammhirn des Rechners. Es kümmert sich zum Beispiel um die Systemtakte und das Ansprechen von Datenträgern. Funktioniert es überhaupt nicht mehr, ist er einfach tot.

Was ich eigentlich sagen wollte : Ich gehe davon aus, das dass Bios nicht defekt und noch lauffähig, aber mit einem Virus soz kontaminiert ist.

Das System bios funktioniert heute eig so wie auf Betriebssystemebene mit Festplatte, bei der Daten fest gespeichert werden und bei Stromausfall erhalten bleiben.
Also wenn ich einen Virus auf Betriebssystemebene habe und kann ihn nicht mehr vollständig löschen kann,
setze ich das Betriebssystem neu auf.
Wenn jetzt das System Bios infiziert ist, muss ich nur das Bios neu aufsetzen, sprich den Flashspeicher
mit der Firmware flashen und habe anschließend das System bios genauso gereinigt wie gennant,
auf Betriebssystemebene. @gerhard86