▲Dragos Ruiu
三年前,Dragos Ruiu在他的實驗室裡頭,才剛剛幫他的MacBook Air更新了OS X,之後沒多久他就注意到一件奇怪的事情:他的筆電在自動更新BIOS。然後當他嘗試要從光碟機啟動電腦的時候,被電腦拒絕了。他同時也發現他的電腦會自動刪除某些資料,並且在沒有任何提示的情況下,把一些原本弄好的設定給恢復回來。事情雖然古怪,但當時因為時間已經很晚了,加上他想或許是新灌好的系統哪裡步驟出了錯,也不以為意,就去睡覺了。
結果在接下來的幾個月,發生在Dragos Ruiu身上的事情簡直就是科幻恐怖片的情節:他實驗室中一台執行Open BSD系統的電腦也開始自作主張地刪除資料,以及自動調整設定;他發現網路內有些資料透過IPv6在傳輸數據,甚至是從那些原本已經把電腦的IPv6協定關閉的電腦;最離奇的是,這些被感染的機器,就算是拔除了網路線、移掉了Wi-Fi、藍芽卡,依然還是能感染到實驗室中其他的電腦,而且還橫跨了 Windows 、Linux 等不同的平台。
▲這種病毒頑強的程度就跟僵屍一樣。
最後,Dragos Ruiu做了所有資安專家都會做的事情:他將實驗室中所有的系統都重新清除再安裝。但是,在接下來的這三年間,這個感染依然斷斷續續地發生,就像是細菌增生一樣。他只好一遍又一遍地重複這樣的動作。
病毒最明顯的徵兆是被感染的電腦都無法從光碟機開機啟動,不過為了偵測出更多關於病毒的行為,他採用了一些類似Process Monitor的工具,用來觀察病毒的行為。由這裡他發現更驚人的是,他採用了「airgaps」的設計來隔絕受感染以及可能受感染的電腦,「airgaps」的意思就是將這些電腦完整地隔絕在實驗室的網路之外,不管是有線或是無線的,就算採取這樣的措施,這些病毒似乎還有自我治療的能力。
▲airgaps是用來將電腦隔絕一切接觸外界環境的程序。
「有一台受感染的電腦採用了airgaps的措施,我們重裝了他的BIOS,全新沒有任何資料的硬碟也剛裝上去,透過原版Windows安裝光碟裝上了系統。」Ruiu對採訪的記者表示,「沒有多久,當我們要安裝我們的Process Monitor工具時,我們發現這台電腦的registry編輯器被disabled了。這時我們不由得想:嘿,這真是太不科學了!這台電腦怎麼可能去攻擊我們正準備要用來攻擊他的程式?我的意思是說,這是一台已經採用過airgaps隔絕的機器,然後就當我們正準備透過registry編輯器去搜尋病毒特徵的時候,所有的搜尋功能就被禁止了!」
遇到這種事,就連資安專家Ruiu也無計可施。他在接下來的兩週在他的Twitter、Facebook、Google+上都描述了他對於這個病毒的調查,而這也引起世界上其他的頂尖資安專家的注意。
Ruiu認為這個病毒是透過USB裝置感染了電腦的底層硬體,攻擊了電腦的BIOS、UEFI,也可能感染了其他的韌體裝置。這個病毒可以攻擊多種的平台,逃避一般的偵測方式,以及從各種企圖毀滅它的行為中存活下來。其中,最困擾Ruiu的一點是,當所有的網路都被隔絕之後,這個病毒到底是用什麼方式擴散傳染給其他的電腦?
但是隨著這個事件繼續的偵察下去,Ruiu在一次意外中發現,隨著他移除了電腦內部的揚聲器以及麥克風之後,電腦的感染狀況竟然奇蹟似停止了。在他嘗試了幾台電腦都得到這樣的結果之後,他判斷,病毒是利用揚聲器發出一種人耳偵測不到的高頻聲音,而透過另一台電腦的麥克風接收到這個高頻,以此來進行病毒的擴散方式。
(後續面還有:關於BadBIOS該知道的4+1件事情)
留言列表