וירוס הביוס שעוקף כל אנטי וירוס ואפילו פרמוט המחשב ומחיקתו לא עוזר נגדו

סטילהוק1

Well-known member
LogoFail - וירוס הביוס החדש שעוקף כל אנטי וירוס ואפילו פרמוט המחשב ומחיקת ההארדיסק לא עוזר נגדו

דמיינו לעצמכם וירוס מחשב חדש שלא ניתן להסירו אפילו על ידי פרמוט הכונן הקשיח לחלוטין או הסרתו והחלפתו בהארדיסק חדש ונקי.

אתם בטח אומרים לעצמכם שזה בלתי אפשרי, נכון?
ובכן, אולי תרצו לחשוב על זה...
ישנה פרצת אבטחה חדשה שהתגלתה לאחרונה לפני כמה חודשים, שהמחשב שלכם צפוי להיות מאוד פגיע אליה.
זה נקרא LogoFail, וזה למעשה אוסף של מספר פרצות אבטחה הקשורות לקושחת ה BIOS של המחשב שלכם.

תוכנה זדונית באופן כללי

כדי להבין מה הביג דיל, הרשו לי לתת לכם הסבר קצר על תוכנות זדוניות ברמת הקושחה, שזה בערך כמו הבוס הסופי הגדול של התוכנות הזדוניות.
אתם מבינים, תוכנות זדוניות ווירוסים רגילים, כולנו יודעים איך הם עובדים.
הם בדרך כלל מתקינים את עצמם ומטמיעים את עצמם במערכת ההפעלה או בקבצים מסוימים, שמקבלים הפעלה אוטומטית כשהמחשב מופעל, ואז עושים כל דבר, מעקב או גניבה.
ישנן רמות שונות של דרכים שהווירוסים האלה מסתירים את עצמם, למשל, ה Rootkits שעולים ממש לפני כל דבר אחר במערכת ההפעלה, כך שלא ניתן לזהותם באמת.
או תוכנה זדונית ללא קבצים היא דוגמה נוספת שבה אין לה אפילו קבצים משלה על גבי הכונן, זה סוג של סקריפט שעולה ביחד עם מערכת ההפעלה.
אבל בסופו של יום, אתם יכולים לפרמט את הכונן ולהיפטר מאלה.
אבל הקושחה, שהיא כמו קוד מוטבע בתוך החומרה עצמה, אינה מאוחסנת בכונן בשום מקום.
לדוגמה, כולנו כנראה שמענו על ה BIOS. כיום, זה טכנית נקרא ה UEFI, אבל כולם קוראים לזה ה BIOS, וככה גם אני אקרא לזה.
בכל מקרה, זה יישמר בשבב BIOS פיזי שבלוח האם, וזו הסיבה שהוא יכול לפעול גם אם אין בכלל שום כונן שמותקן במחשב.
אז במקרים שבהם הקושחה נגועה בתוכנה זדונית, מכיוון שקוד הקושחה הזה נטען לפני כל תוכנה אחרת, מערכת ההפעלה, מנהלי ההתקנים וכל דבר אחר, אז ממש אין שום דבר שיכול לעצור את זה.
זה יכול לעשות כל דבר, החל מהתקנה מחדש של קבצים זדוניים על הכונן שוב ושוב בכל פעם שעושים אתחול, או התחלת תהליך זדוני שמערכת ההפעלה אפילו לא יכולה לראות אותו, ולכן אתם יכולים לעולם לא לזהות את זה.
ולמרבה הצער, מערך הפרצת אבטחה הזה של LogoFail מאפשר לתוכנות זדוניות להדביק את הקושחה.

LogoFail עצמו (היסודות)

אז ראשית, הרשו לי לתת לכם סקירה מהירה של איך הדבר הזה של LogoFail עובד ומדוע זה כל כך גרוע, ואז ניכנס קצת יותר לפרטים.
אז אתם יודעים שכשאתם מאתחלים את המחשב שלכם, אתם בדרך כלל תראו לוגו מסוג כלשהו.
אולי זה של היצרן של לוח האם, או אם זה מחשב ממותג, תראו את הלוגו של היצרן של המחשב עולה.
וגם, לעתים קרובות, ה BIOS עשוי לאפשר למשתמש להתאים אישית את הלוגו שמופיע, ומה התמונה של הלוגו תעשה.
ובכן, מסתבר, שחברה בשם Binarly גילתה שבמנתחי התמונות, שהם מעין חלקי התוכנה שטוענים את התמונות הללו, כנראה יש הרבה פרצות אבטחה, והם משמשים בעצם את כולם כולל חברות תוכנת ה BIOS עצמה.
והיתרון הגדול הוא שהאקר מרושע יכול ליצור קובצי תמונה רגילים, המקודדים בצורה כזו שכאשר פיסות התוכנה טוענות את התמונה ל BIOS, הוא יכול להערים עליה שתעשה הרבה יותר דברים, כולל פשוט לכתוב מחדש את הקושחה בכדי לשתול שם קוד זדוני ולעשות מה שהוא רוצה.
והסיבה שזה רע במיוחד היא כי למרות שאמנם יש היום למעשה טכנולוגיות, כמו אתחול מאובטח, שתוכננו במיוחד בכדי להבטיח שנתוני ה BIOS לא יעברו מניפולציות בעת ההפעלה, אבל ככל הנראה, הן לא בודקות בדרך כלל את קבצי התמונות, וכך זה מאפשר לוירוס לעבור.
אז מה שיקרה הוא שתידבקו בתוכנה זדונית כזו או אחרת, בדרך כלל בדרך הטיפוסית שבה אתם מורידים קובץ מבלי לדעת שהוא מכיל וירוס או רוגלה זדונית.
ובמקום להפעיל רוגלה או להתקין חלון קופץ או מה שזה לא יהיה, זה יחליף את התמונה שנטענת על ידי ה BIOS, ואז הקושחה שלכם נפרצה.
ואז ממש שום דבר לא יוכל כבר לזהות את זה.

איך זה עובד בעצם?

אז לאופן שבו התוכנה הזדונית בעצם מחליפה את קובץ הלוגו, יש שלושה וקטורי התקפה עיקריים שהאקרים יכולים לבחור להשתמש בהם.
וחשוב מכך, עבור שניים כאלה, זה לא דורש אפילו מהתוקף גישה פיזית למחשב שלכם. ניתן לפרוץ אותו מרחוק, כמו כל וירוס אחר.
אז ראיתי אנשים שאומרים, "נו טוב, אל תדאג, הם חייבים לקבל גישה פיזית למחשב שלי." לא הם לא.

שיטה 1: מחיצת EFI

האסטרטגיה הראשונה שבה הם יכולים להשתמש היא להחליף את הקובץ במערכת המכונה EFI System Partition.
אתם מבינים, בימים אלה, ה UEFI הוא בעצם כמו גרסה מתקדמת של ה BIOS הישן, אבל אנשים עדיין קוראים לזה ה BIOS.
בכל מקרה, בנוסף לקיומה של הקושחה, אשר מאתחלת ויכולה לעשות דברים נוספים, הם בדרך כלל גם טוענים נתונים משלימים על הכונן הקשיח במחיצת EFI מיוחדת.
מדובר בקובץ קטן מאוד ששוקל בערך 100 מגה בייט שמכיל מידע על איך לאתחל מערכות הפעלה בודדות.
כך שאם יש לכם מערכת מרובת אתחול בדרך כלל הכל יישמר במקום אחד.
ולמחיצת EFI הזו יש דברים נוספים כמו מטעיני התוכנות שעולות ביחד עם האתחול של מערכת ההפעלה, אך היא עשויה להכיל גם את הלוגואים האלה.
אז מה שקורה הוא שאתם מקבלים איזשהו תוכנה זדונית שמדביקה את המחשב שלכם, ובין אם היא מרמה אותכם להפעילה כמנהל, או שהיא גורמת למערכת ההפעלה לקבל גישה לא מורשית, וכך היא מקבלת את היכולת פשוט

לכתוב את קובץ התמונה הזדוני למחיצת ה EFI הזו. אז זה פשוטו כמשמעו רק עניין של העתקת קובץ.
אז מה שקורה זה שה BIOS בעת ההפעלה יראה את הלוגו הזה ויטען אותו, ואז ינסה להציגו, אבל יש לו כבר את הקוד הזדוני הזה, ואז הוא יתפעל את קושחת ה BIOS, כך שהוא אפילו לא צריך את הלוגו הזה שוב בכדי לרוץ.
זה כבר יהיה מוטבע עמוק בקושחה שלכם, וזו הסיבה שגם אם תמחקו ותפרמטו את הכונן, זה לא יעזור יותר.
עכשיו, בדרך כלל מחיצת מערכת EFI הזאת מוגנת על ידי משהו כמו אתחול מאובטח, שמה שזה עושה זה מוודא שאף אחד מהקבצים האלה לא עובר מניפולציות, בשונה מהגירסאות החתומות רשמית.
אך כנראה מסתבר שיש קטעים במחיצת ה EFI שלא נבדקים, שהם חלק מבלוקים לא חתומים. כך שזה לא בודק הכל. וכנראה שגם הלוגו הוא חלק מזה לעתים קרובות.

שיטה 2: כלי עדכון BIOS

בשלב הבא, וקטור ההתקפה השני יהיה באמצעות קובץ עדכון BIOS זדוני.
אז בדרך כלל למחשב תהיה דרך שבה המשתמש יכול לעדכן קובץ BIOS בדרך זו או אחרת.
ולפעמים זה אפילו כולל כלי שמאפשר לקחת קובץ עדכון קושחה, ולהפעילו מתוך מערכת ההפעלה.
מכיוון שהוא כבר פועל, אתם אפילו לא צריכים לאתחל, והוא יעדכן את הקושחה ישירות מתוך מערכת ההפעלה.
ובדרך כלל זו לא ממש בעיה מבחינת אבטחה, כי ה BIOS הקיים יבדוק שקובץ ה BIOS החדש חתום בצורה נכונה, ולא התעסק בו, ורק אז הוא יתקין.
אך שוב, כנראה שחלק מהקבצים האלה לא נבדקים בפועל, ולא חייבים לחתום עליהם, כולל קובץ הלוגו.
אז מה שתוכנה זדונית יכולה לעשות זה לקחת קובץ עדכון BIOS לגיטימי, ולהחליף את החלק שלא נבדק, ולהחליף את קובץ התמונה רק בחלק הזה.
כך שחלק הקוד בפועל, שפעם היו מניחים שהוא החלק היחיד שחשוב מבחינת אבטחה, לא ישתנה, וה BIOS יטען הכל מהקובץ הזה, כולל את התמונה, ואז זה ישתנה. והמחשב יידבק בוירוס.

שיטה 3: שבב פלאש פיזי

כמו כן ישנו וקטור התקפה שלישי שאכן דורש שימוש בגישה פיזית למחשב.
ובמקרה כזה, משתמשים במשהו שנקרא SPI Flash Programmer, שבו ממש מחברים סיכות וכאלה. זו טכנולוגיה די מתקדמת.
במקרה כזה, הוירוס יעבור ישירות לרמת החומרה ויחליף את הקובץ שם.
זה כנראה לא יקרה בדרך כלל. ואם למישהו יש גישה פיזית למחשב שלכם, נדפקתם בכל מקרה. אבל בכל זאת זו אופציה.

האם אתם פגיעים?

עכשיו אני בטוח שבשלב הזה רובכם תוהים איך אתם יכולים לדעת האם המחשב שלכם פגיע לוירוס הזה, ומה אתם יכולים לעשות בכדי להגן על עצמכם ומחשבכם ממנו.

אז קודם כל, מי לא פגיע לוירוס הזה

קודם כל, מחשבי Mac אינם פגיעים לוירוס החדש והמסוכן הזה. ואפילו מחשבי Mac מבוססי אינטל לא.
הסיבה לכך היא שבמחשבי Apple Silicon Mac לא משתמשים ב UEFI בכלל, ובמחשבי מקינטוש מבוססי אינטל יש קוד קשיח של תמונת הלוגו בצורה כזו שיש סימון כולל על התמונה, כך שלא ניתן להחליפה.

כמו כן, ישנם כמה מכשירי Dell שככל הנראה אינם פגיעים מכיוון שהם משתמשים בסוג נוסף של טכנולוגיה, לא באתחול מאובטח, אך זה נקרא Intel Boot Guard.
מה שלמעשה נתמך ברוב המחשבים, אך Dell קבעה את זה בצורה מיוחדת שבה היא גם בודקת את החלק של התמונה, בעוד שלהרבה מחשבים, גם אם יש Intel Boot Guard, הם לא בודקים את התמונה.
אז כנראה שהרבה מחשבים של Dell בטוחים כי הם בודקים גם את התמונה.

בנוסף, ממה שקראתי, גם לוחות אם של MSI אינם פגיעים, מכיוון שאינם מאפשרים למשתמש לשנות את תמונת הלוגו, והיא כלולה כחלק מהגוש החתום של Intel Boot Guard.
למרות שלא הצלחתי למצוא שום אישור רשמי מ MSI עצמה לגבי זה.
כמו כן, מפתחות החומרה של Intel Boot Guard של MSI דלפו בשנה שעברה.
אך אני מניח שזה עדיין יותר טוב מכלום.
בכל שאר המחשבים מלבד אלה שציינתי, סביר להניח שאתם פגיעים.

החדשות הטובות הן שלפי מה שאני יודע וקראתי, עדיין לא היו מקרים של שימוש פעיל בוירוס הזה, אך זה לא אומר שלא יהיו.

אז איך ניתן להגן על עצמכם מהוירוס החדש?

ובכן, הפתרון האמיתי היחיד הוא לעדכן את ה BIOS שלכם לקושחה העדכנית ביותר שיש, בהנחה שיצרן המערכת שלכם יצר עדכון BIOS בכדי לתקן גם את פרצת האבטחה הזאת ולמנוע מהוירוס הזה לחדור ל BIOS ולקושחה של מחשבכם.

רוב יצרני לוחות האם והמערכות היו אמורים כבר לשחרר עדכון BIOS חדש ומעודכן.
הם הודיעו שישחררו עדכון בתחילת הרבעון הראשון של שנת 2024.
אם כי שוב, עבור מערכות ישנות יותר, זה עשוי לקחת זמן רב יותר, אם הם בכלל מתכוונים לעדכנן.

לדוגמה, אם אתם מסתכלים על עדכוני ה BIOS האחרונים של מחשבי ASUS ו-Gigabyte, הם מזכירים במפורש את עדכוני ה BIOS הללו כתיקון למניעת LogoFail.
אז זה משהו שהייתם רוצים לחפש ולבדוק עבור המערכת שלכם.
למרות שאתם תמיד צריכים להיות זהירים בעת עדכון ה BIOS שלכם, כי אם אתם משבשים את זה כמו למשל לכבות את המחשב באמצע העדכון, זה באמת יכול לבלבל ולשבש לחלוטין את כל המערכת שלכם.
ואם אתם באמת לא יודעים מה אתם עושים, אולי פשוט תבדקו באתר האינטרנט של היצרן של המחשב שלכם, האם יש שם הוראות מפורטות לאיך עושים זאת, או שאולי תבקשו מאחד החברים שלכם שמבין במחשבים לעשות את זה בשבילכם.
האמת שזה לא סופר קשה, אבל פשוט אם זה משתבש זה יכול לשבש הכל.

אז כן, הוירוס החדש הזה די מפחיד ובמיוחד שלא הרבה אנשים בטח מודעים לגביו, אך לפחות עכשיו אתם מודעים ויכולים לטפל בזה ולנסות למנוע ממנו לפגוע במחשב שלכם.

הייתי סקרן לדעת מה אתם חושבים. האם אתם מתכוונים לטרוח לעדכן את ה BIOS שלכם או פשוט לקחת את הסיכון להידבק?
 
נערך לאחרונה ב:

רוב הזמן נח

Well-known member
כבר לפני שנים כתבו על וירוס שמדביק את הביוס.

אבל הביוס זה בסך הכול הוראות לחומרה של המחשב. אי אפשר לתכנת שם וירוס.
ויש ביוסים היום שהם קבועים ואי אפשר לשנות אותם.

ועדכון ביוס יזום בעצמו זה פוטנציאל לנזקים. אז אם וירוס עושה אותו, יהיו הרבה מחשבים שפשוט יפסיקו לפעול בגלל זה.


בשורה התחתונה, אלה סתם הפחדות.
 

סטילהוק1

Well-known member
כבר לפני שנים כתבו על וירוס שמדביק את הביוס.

אבל הביוס זה בסך הכול הוראות לחומרה של המחשב. אי אפשר לתכנת שם וירוס.
ויש ביוסים היום שהם קבועים ואי אפשר לשנות אותם.

ועדכון ביוס יזום בעצמו זה פוטנציאל לנזקים. אז אם וירוס עושה אותו, יהיו הרבה מחשבים שפשוט יפסיקו לפעול בגלל זה.


בשורה התחתונה, אלה סתם הפחדות.
אבל בזה בדיוק מדובר, בוירוס או תוכנה זדונית שתושתל ע"י תמונת לוגו שתערים את הביוס להטעינה כשהוא מאתחל או מפעיל את המחשב שהקוד הזדוני שלה יעדכן את הביוס איך שההאקר רוצה. וזו הסכנה שבפרצת האבטחה הזאת.
 

רוב הזמן נח

Well-known member
אף פעם לא מסבירים איך באמת נדבקים בכל וירוס ווירוס. לכל מזיק יש שיטות שבהם אפשר להידבק בו. לכל מזיק יש תוכנות במחשב שהוא מנצל בשביל להדביק את המערכת. ובדרך כלל לא מסבירים את זה. וזה הדבר הכי חשוב.

רק מפחידים שאם לא תעדכן, יכנס לך וירוס. וזה לא באמת נכון.

יכול להכנס לך וירוס גם אם המחשב שלך 100 אחוז מעודכן ומוגן באנטי וירוס מעודכן.

ויכול להיות לך מחשב בלי אנטי וירוס ובלי שום עדכון אבטחה, שלא יכנס אליו שום וירוס.
 
למעלה