ระวัง มัลแวร์ "Mebromi" เล่นงานคอมพิวเตอร์ที่ระดับ BIOS

By mk Founder on Tag: Security, China, Phoenix Technologies, Malware, Rootkit, BIOS
Security

บริษัทด้านความปลอดภัยในประเทศจีน ค้นพบมัลแวร์ชนิดใหม่ชื่อ Mebromi ซึ่งกำลังระบาดในประเทศจีน ที่น่าสนใจคือมันเล่นงานคอมพิวเตอร์ตั้งแต่ระดับ BIOS ขึ้นมาเลยทีเดียว

กระบวนการทำงานของมันจะซับซ้อนหน่อย เริ่มจากมันจะหาทางติดตั้งไดรเวอร์ปลอมๆ ที่ทำงานในระดับเคอร์เนล (kernel mode driver) เพื่อเข้าถึง physical memory ในเครื่อง เมื่อติดตั้งไดรเวอร์และเข้าถึง physical memory ได้แล้ว มันจะตรวจสอบที่ตำแหน่ง 0xF0000 ว่ามี BIOS อยู่หรือไม่ (ซึ่งส่วนมากมักจะใช่) และเรียกโปรแกรมเขียน BIOS (ซึ่งเป็นของแท้จากบริษัทผลิต BIOS เสียด้วย) มาเขียนโค้ด rootkit ลงไปที่ BIOS

นอกจากจะแก้ไขข้อมูลใน BIOS แล้ว ตัวมัลแวร์จะไปแก้ข้อมูลบางส่วนของ Master Boot Record ด้วย เรียกว่าต่อให้ถ้าเขียน BIOS ไม่สำเร็จ ก็ยังมี MBR อีกอันที่จะโดนมัลแวร์อยู่ดี

ในการบูตเครื่องครั้งต่อไป BIOS (ที่โดนมัลแวร์เข้าเสียแล้ว) จะเช็คว่า MBR โดนด้วยหรือไม่ (ถ้าโดนแล้วก็ปล่อยผ่าน ถ้ายังไม่โดนก็แก้ MBR ซะเลย)

จากนั้นก็ยาวเลย มันจะเข้าไปเช็คที่ file system แล้วเข้าไปแก้ถึงไฟล์ winlogon.exe หรือ wininit.exe ที่ใช้ในการบูตวินโดวส์ และรอให้วินโดวส์บูตเสร็จเพื่อดึงโค้ดมัลแวร์ส่วนอื่นๆ มาจากอินเทอร์เน็ตต่อไป (อ่านรายละเอียดของกระบวนการทำงานทั้งหมดได้ตามลิงก์)

ความน่ากลัวของมัลแวร์ลักษณะนี้อยู่ที่ว่า ต่อให้ซอฟต์แวร์ความปลอดภัยตรวจจับและล้างให้สะอาดได้ แต่เมื่อบูตเครื่องครั้งต่อไป BIOS (ที่ซอฟต์แวร์ความปลอดภัยเข้าไม่ถึง) ก็จะทำให้เครื่องเราติดมัลแวร์ใหม่อยู่ดี

แนวคิดนี้จริงๆ ไม่ใช่เรื่องใหม่ ในอดีตเคยมีคนสร้างโค้ดที่ทำงานในระดับ BIOS มาแล้ว เพียงแต่ครั้งนี้อาจถือว่าเป็นมัลแวร์ที่ทำงานจริงๆ ไม่ใช่โค้ดทดลอง (proof-of-concept) แต่อย่างใด

อย่างไรก็ตาม ถึงแม้การทำงานของมันที่ระดับล่างๆ ฟังดูร้ายแรง แต่ข้อเสียของมัลแวร์แบบนี้คือโค้ดมีความซับซ้อน ต้องใช้หลายส่วนทำงานผสานกัน และต้องปรับแต่งโค้ดให้เหมาะกับฮาร์ดแวร์แต่ละชุดด้วย (เช่น โค้ดสำหรับ BIOS แต่ละยี่ห้อ) ทำให้โอกาสที่มันจะทำงานได้ 100% ตามที่ผู้สร้างตั้งใจมีน้อยลงมาก

ในตอนนี้ Mebromi ยังมุ่งเป้าที่ผู้ใช้ในประเทศจีนเท่านั้น และโค้ดของมันใช้ได้กับ BIOS ยี่ห้อ Award (ซึ่งปัจจุบันเป็นของ Phoenix Technologies) เพียงอย่างเดียว

ที่มา - Webroot Threat Blog, The Register

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

UltimaWeapon Thu, 15/09/2011 - 16:39

จงใช้ Windows NT 6.X กันได้แล้ว !! (เช่น Windows Vista, 7) และเป็นไปได้ก็ใช้ x64 ด้วย เพราะใน x64 ตัว Kernel ของ Windows จะยอมโหลด Kernel Mode Driver ก็ต่อเมื่อมันถูกทำ Code Signing กับ Certificate บางอันเท่านั้น (ซึ่งการจะได้ Certificate ตัวนี้มายากพอสมควร ทั้งราคาที่แพง ทั้งเรื่องการยืนยันตัวตน ฯลฯ) และเปิด UAC กันได้แล้ว !!!

revolz Thu, 15/09/2011 - 17:09

ส่วนมากมันจะเป็นแบบนี้นะครับ ถึงใช้ vista/7 ไม่ได้

User is not compatible with Windows 7

แล้วมันค่อยจะยอมพัฒนากันด้วย กว่าจะเข็นจาก 98 มา xp ได้ ก็ service pack 3 เข้าไปแล้ว

UltimaWeapon Thu, 15/09/2011 - 18:38

ถ้า Malware มันเข้าไม่ถึง Ring 0 (คือสิทธิที่สามารถควบคุม CPU และ Hardware อื่นๆได้ทุกอย่าง) มันก็ไม่สามารถแก้ใข BIOS ได้คับ และถ้ามันเข้าไม่ถึงสิทธิ Admin (หรือ root นั่นละ) มันจะไม่สามารถแก้ใข wininit.exe ได้ รวมถึงไม่สามารถสั่งให้ Kernel โหลดมันเข้าไปใน Ring 0 ด้วย

ใน Windows XP User เกือบทุกคนที่ผมเห็นจะใช้งานในสิทธิ Admin ทำให้โปรแกรมที่รันด้วย User นั้นๆสามารถเข้าถึงระบบได้และแก้ใขได้ทุกอย่าง

แต่ใน Windows NT 6.X (Vista, 7) ถ้าเราเปิด UAC เวลา User ที่มีสิทธิ Admin รันโปรแกรมแบบปรกติ (ไม่ใช่การคลิกขวาแล้วเลือก Run as administrator) ตัวโปรแกรมนั้นจะไม่ได้รันในสิทธิ Admin แต่จะรันในสิทธิ User ธรรมดา ทำให้โปรแกรมนั้นไม่สามารถเข้าถึงและแก้ใขระบบในส่วนที่สำคัญๆ และเวลาโปรแกรมไหนที่ต้องการใช้งานสิทธิ Admin มันก็จะมีหน้าต่าง UAC เด้งขึ้นมาถาม User ก่อน (ไอ้ที่ชอบรำคาญกันนั่นละ) ถ้าตอบ Yes ตัวโปรแกรมนั้นถึงจะถูกรันในสิทธิ Admin

สรุป ถ้า Malware ตัวนี้ (และหลายๆตัว) มันเข้าไม่ถึงสิทธิ Admin มันก็ทำอะไรไม่ได้หรอกคับ

UltimaWeapon Thu, 15/09/2011 - 18:19

อันนั้นน่าจะ User mode Driver นะคับ ถ้า Kernel mode Driver มันจะขึ้นหน้าต่างแบบนี้บอกเลย http://www.sslshopper.com/microsoft-vista-kernel-mode-code-signing-certificates.html

อันนี้รายละเอียดเพิ่มเติมคับ http://msdn.microsoft.com/en-us/windows/hardware/gg487328

PaPaSEK Thu, 15/09/2011 - 16:46

โอ้โห!! ไอ้ตัวนี้โหดพอดู

ผมรอมานานแล้วว่าเมื่อไหร่จะมีคนที่โหดเหี้ยมพอที่จะทำไวรัสแบบนี้ออกมา เท่าที่เข้าใจ ... คนทำไวรัสส่วนมากไม่ได้ต้องการไวรัสที่มีอานุภาพทำลายล้างในระดับนี้

เคยอ่านบทความ (น่าจะเก่าระดับ 10 ปี) บอกว่ามีไวรัสตัวนึงในอดีต (ยุคแรกๆ มั้ง) สั่งให้ตัว yoke coil ในจอ CRT ยิงอิเล็กตรอนไปที่จุดเดิมซ้ำๆ จนจอไหม้

iammeng Thu, 15/09/2011 - 17:14

โหเดี๋ยวนี้มัลแวร์มันฉลาดขนาด วิเคราะห์ แล้วโหลดข้อมูลจากเน็ต แล้วแก้ไขข้อมูลแล้วติดตั้ง!! แล้วหรอเนี่ย

ข่าวหลายวันก่อนเหมือนผมเห็นไวรัสที่มันมาพร้อมกับ Mouse เหมือนกัน
ไปกันใหญ่แล้ว!

ohmini Thu, 15/09/2011 - 17:48

อ่านใน Bloomberg ไทยฉบับล่าสุดพูดถึงเรื่องสงครามไซเบอร์พอดี ไวรัสชนิดหนึ่งจะฝั่งตัวเข้าไปในระบบการทำงานของโรงไฟฟ้า แต่จะทำงานเฉพาะกับโรงไฟฟ้านิวเคลียร์ของอิหร่านเท่านั้น (มีโรงไฟฟ้าหลายประเทศโดนแต่ไม่ทำงานเพราะไม่ใช่อิหร่าน) เมื่อฝังตัวไปได้แล้ว มันจะสั่งให้มอเตอร์(หรืออะไรสักอย่าง) ทำงานอย่างหนักจนเสียหาย (ทำให้ฮาร์ดแวร์เสียหาย) โรงไฟฟ้านิวเคลียร์ของอิหร่านเลยปิดไปหลายเดือน แถมระหว่างทำงานไวรัสยังหลอกว่าเครื่องทำงานปกติดี ทำให้ไม่มีคนรู้จนเครื่องพัง...

wichate Thu, 15/09/2011 - 16:53

ใช้ Linux รอดตัวไป เพราะไม่ต้องลง Driver

ปล.หรือไม่ก็ฝังมากับ Kernel แล้วเรียบร้อย (เห็นข่าว server โดน Hack อยู่)

lazywahwah Thu, 15/09/2011 - 17:04

เอ่อ คือ ถ้ามันลงไปทำงานในระดับไบออสได้ ก็แปลว่ามันน่าจะทำให้เครื่องพังในระดับ hardware ได้เลยสิครับ เช่น over voltage cpu แล้วตัดการทำงานของพัดลม cpu ไปพร้อมๆ กัน

PaPaSEK Thu, 15/09/2011 - 17:17

(อันนี้พูดแบบจริงจัง) ปิดเน็ตเป็นการป้องกันครับ

ส่วนวิธีแก้ไข ผมว่าคงต้องรู้ตัวก่อนแล้วก็ flash firmware ของ bios ทับลงไป

คิดออกแค่นี้ครับ

sukoom2001 Thu, 15/09/2011 - 17:19

นึกถึง CIH สมัยก่อนเลย
แต่ว่า ตัวนั้นแค่ reset bios ทุกบิต ทำให้ใช้ไม่ได้
แต่ตัวนี้ ซับซ้อน กว่ามาก
ไม่ได้เห็นไวรัส ที่ทำงานกับ ฮาร์ดแวร์ระดับต่ำ ๆ มานานมากแล้ว

sukoom2001 Thu, 15/09/2011 - 18:05

  1. อยากรู้และอยากลอง (การเขียนไวรัส ระดับต่ำ เป็นการศึกษา การทำงานของระบบคอมพิวเตอร์ อย่างลึกซึ้งพอสมควร และท้าทาย)
  2. พิสูจน์ concept โดยการ ทำให้เกิดจริง และกระจาย สู่วงกว้าง
  3. ชอบความ ท้าทาย ที่จะไม่ถูกเผยตัว (การปกปิดตัวตน และหลบซ่อน )

แต่การทำให้คนอื่นลำบากก็ไม่ใช่เรื่องที่ดี ครับ

mr_tawan Thu, 15/09/2011 - 18:24

แอบคิดว่า ไอ้บ.จีนที่ว่านี่เป็นคนเขียนเองหรือเปล่า ?

hisoft Fri, 16/09/2011 - 00:12

PC ก็ UEFI หลายรุ่นแล้วครับ ไม่รู้จะกั๊กกันทำไม

ล่าสุดเครื่องที่ทำงานคุณพ่อผม HP ลง Windows 7 มา ใช้ BIOS เป็น Default ทั้ง ๆ ที่มี UEFI มาด้วย - -"