Los troyanos pueden esconderse dentro de los cargadores AVR

Si hay algo que hemos aprendido a lo largo de los años, es que si tiene un chip de silicio en su interior, podría portar un virus. La investigación de un grupo se centró en ocultar un troyano dentro de un cargador de arranque AVR Arduino, lo que demuestra que incluso nuestros pequeños microcontroladores aficionados no son seguros.

El objetivo específico de la investigación era ocultar un troyano dentro del gestor de arranque de un chip AVR. Esto permitiría que el troyano permaneciera presente en algo como una impresora 3D, incluso si se reinstalara el firmware principal. El troyano aún podría afectar el rendimiento de la impresora desde su desagradable escondite, pero sería más difícil de detectar y eliminar.

El objetivo del trabajo fue el ATmega328P, comúnmente utilizado en impresoras 3D, especialmente aquellas que utilizan el firmware Marlin. Para obtener los detalles técnicos completos, puede sumergirse y leer el documento de investigación usted mismo. Sin embargo, en términos básicos, el cargador de arranque modificado podría usar el registro IVSEL del chip para permitir la ejecución del cargador de arranque después de arrancar a través de una interrupción. Cuando se llama a una interrupción, la ejecución pasa al código especial del cargador de arranque infectado por el troyano, antes de regresar a la interrupción del programa para evitar levantar sospechas. El troyano también puede ejecutarse después del código de interrupción del programa, aumentando la flexibilidad del ataque.

Simplemente volver a instalar un programa en un chip afectado no eliminará el troyano. En cambio, el chip debe tener su cargador de arranque específicamente reescrito en una versión limpia para eliminar el código infractor.

No es un truco súper peligroso, en general. Por lo general, actualizar un cargador de arranque malicioso requeriría acceso físico al chip. Además, no hay montones que ganar introduciendo código en la impresora 3D promedio que existe. Sin embargo, sigue siendo un buen ejemplo de lo que realmente pueden hacer los cargadores de arranque y un recordatorio de lo que todos debemos tener cuidado al operar en dominios conscientes de la seguridad. ¡Mantente a salvo ahí fuera!

  • Arthur G. Mezins dice:

    Entonces, ¿quién hace esto? Ninguno bueno. ¿Amigos de Putin? ¿CAROLINA DEL NORTE? ¿Algún idiota al azar?

    ¿Hay un propósito real o es solo una "prueba de concepto"? No he leído todos los detalles, pero tiene que haber un propósito más allá de la travesura, y si es así, esa puede ser la pista más útil para saber quién. Rastree el punto de origen hasta el perpetrador, pero ¿qué "crimen" se cometió aquí? ¿Cuál es el cargo? ¿Qué es la jurisdicción? ¿Cuál es el problema?

Alana Herrero
Alana Herrero

Deja una respuesta

Tu dirección de correo electrónico no será publicada.