Cuando hablamos acerca de los códigos maliciosos, debemos tener en cuenta cuáles son son sus objetivos, cuál es su función. En ciertas ocasiones presentamos informes y noticias acerca de los códigos maliciosos del tipo bot, que le brindan a un atacante el acceso al equipo de manera remota, troyanos bancarios que modifican el sistema con el objetivo de obtener el acceso a las cuentas bancarias del usuario. En esta oportunidad vamos a hablar acerca de un rootkit que modifica el BIOS del equipo: Mebromi.
Este código malicioso, que busca reescribir la BIOS (Basic Input/Output System, en español, Sistema Básico de Entrada y Salida) de la empresa Award BIOS fue analizado por investigadores que redactaron un interesante informe acerca de su actividad. Para lograr su cometido, esta amenaza cuenta con un conjunto de técnicas y herramientas que valen la pena comentar. La infección del sistema es a través de un código malicioso que contiene cinco archivos cifrados en su interior:
- hook.rom
- flash.dll
- cbrom.exe
- my.sys
- bios.sys
A diferencia de Chernobyl, que borraba la BIOS existente a través de la explotación en una vulnerabilidad de elevación de privilegios en Windows 9x, Mebromi cuenta con un driver que se ejecuta en modo kernel, lo que le permite infectar directamente la BIOS. Mediante la utilización de los cinco archivos antes mencionados, se logra cambiar la BIOS del sistema para luego modificar algunos archivos del sistema operativo y la MBR (Master Boot Record, en español, el sector de arranque).
El archivo bios.sys es el driver con el cual se efectúa la infección de la BIOS. Para ello, necesita ubicar en la memoria de la computadora, una dirección específica: 0xF0000. Allí, es donde suele encontrarse la ROM (Read Only Memory, en español, Memoria de solo Lectura) de la BIOS. En el caso de que la BIOS sea de Award BIOS, se lleva a cabo la infección.
En esta etapa, cuando la BIOS es infectada, el rookit guarda una copia de la original en la ruta “C:\bios.bin” para luego continuar con el componente de la infección que se ejecuta en modo usuario. Entonces, se utilizan otros dos archivos (cbrom.exe y hook.rom) con la finalidad de inyectar el código malicioso en la BIOS. Sin embargo, antes de realizar tal inyección de código, el malware corrobora que la BIOS no se encuentre infectada. Una vez que la BIOS se encuentra modificada, el siguiente paso es infectar la MBR. Uno de los objetivos de esta técnica es lograr que en el siguiente inicio del sistema, se modifiquen los archivos winlogon.exe y wininit.exe, alterando su punto de entrada; de forma tal que al ejecutarse en primer término se descargue otro código malicioso cuando el usuario inicie sesión.
En conclusión, si bien el desarrollo de este tipo de códigos maliciosos no es algo trivial ni habitual, es uno de los método de infección más persistentes que se puede encontrar. ya que por más que se formatee el disco y se vuelva a instalar el sistema operativo, lo que se ha comprometido es la BIOS del equipo. Aunque se conocen otros códigos maliciosos, como TDL, que infectan la MBR, Mebromi es el primer código malicioso que infecta la BIOS del sistema.
Pablo Ramos
Especialista en Awareness & Research
Categories: Alertas, Malware
3 Comments »
Hace aproximadamente 1 mes publicamos un crackme creado completamente por ESET Latinoamérica. El fin del mismo era poder seleccionar a 5 participantes que lo hubieran resuelto de manera correcta, los cuales ganarían una entrada al training que dictaremos este año en la Ekoparty.
