Comments 20
«но атакующий с правами администратора»… зачем ему такие сложности? :))
Ну как сказать… Записать свой код в прошивку, получив возможность переживать переустановку системы и смену всего оборудования, кроме материнской платы. Записать свой код в SMM и прятаться там от любых средств защиты уровня ОС, а самому творить с ними непотребное. Возможностей то масса, я их уже в предыдущих постах описывал.
В общем, с незакрытыми уязвимостями в прошивке от LPE до греха — один шаг.
В общем, с незакрытыми уязвимостями в прошивке от LPE до греха — один шаг.
Переведу на русский. Вирус, заразивший машину, будет спокойно переживать переустановку, обходить антивирус и т.д.
А права администратора — есть куча дыр в винде. Хоть раз пропустил — зараза надолго с вами… Никакие сервиспаки не помогут.
А права администратора — есть куча дыр в винде. Хоть раз пропустил — зараза надолго с вами… Никакие сервиспаки не помогут.
А я ведь в первой части предупреждал, что у меня язык после нескольких лет неиспользования слегка заржавел — вот и подтверждение.
Что касается вирусни — думаю стоит понимать, что хотя это и активный вектор для восстановления малвари(восстанавливается без участия пользователя), но все же не самый лучший и универсальный.
Лучшим аналогом для закрепления на мой взгляд были и остаются файловые инфекторы(в основном для исполняемых файлов). Они хоть и пассивны(необходимо инициализация со стороны пользователя), но справляются с задачей намного лучше вплане персистенции вредоносного кода. Используя продвинутую технику EPO и тактично заражая исполняемые файлы на целевых машинах — можно держаться годами.
К тому же, это менее трудоемко вплане ресерча и реализации, плюс не забываем про универсальность.
Лучшим аналогом для закрепления на мой взгляд были и остаются файловые инфекторы(в основном для исполняемых файлов). Они хоть и пассивны(необходимо инициализация со стороны пользователя), но справляются с задачей намного лучше вплане персистенции вредоносного кода. Используя продвинутую технику EPO и тактично заражая исполняемые файлы на целевых машинах — можно держаться годами.
К тому же, это менее трудоемко вплане ресерча и реализации, плюс не забываем про универсальность.
О, cr4sh еще пишет, когда-то перестал следить за его постами, а оказывается много интересного написал ;)
С «правами администратора» — это какой уровень доступа подразумевается? С правами администратора/рута в userspace, с правами ядра ОС?
Спасибо за статьи, очень интересно.
Уф… как все-таки раньше было просто. А сейчас сколько всего наворотили…
Вот думаю… у большинства людей БИОС-ы не обновлялись со времён царя гороха, сколько же сейчас троянов в них засело и как они взаимодействуют с внешним миром?
Вот думаю… у большинства людей БИОС-ы не обновлялись со времён царя гороха, сколько же сейчас троянов в них засело и как они взаимодействуют с внешним миром?
Раньше было просто потому, что тему не затрагивали. Где-то был джампер Read-only, но в основном был полный доступ на запись прямо из ОС.
Я не думаю, что у обычного пользователя уже засела куча троянов, т.к. технология относительно новая и в хакерской среде пока не очень популярная, но если ничего не делать, то трояны там обязательно засядут. Сначала они будут примитивные донельзя, как нашумевший недавно HT rkloader, но потом начнется гонка вооружений и атакующее прошивку ПО быстро вылезет из своей PoC-песочницы. Именно поэтому важно исправить обнаруженные уязвимости сейчас, а там, где нельзя исправить — сообщить об этом.
Очень многие, в том числе и признанные специалисты по ИБ, сомневаются в опасности атак на UEFI, считая их слишком дорогими и слишком целевыми, чтобы быть сколько-нибудь опасными для обычного пользователя. То же самое в свое время говорили про любые новые классы атак, пока их не вепонизировали и не добавили в Metasploit. А для UEFI, ноги 80% которого растут из открытого кода проекта TianoCore, сделать это будет весьма несложно. Вот тут ребята из LegbaCore рассказывают подробнее.
Я не думаю, что у обычного пользователя уже засела куча троянов, т.к. технология относительно новая и в хакерской среде пока не очень популярная, но если ничего не делать, то трояны там обязательно засядут. Сначала они будут примитивные донельзя, как нашумевший недавно HT rkloader, но потом начнется гонка вооружений и атакующее прошивку ПО быстро вылезет из своей PoC-песочницы. Именно поэтому важно исправить обнаруженные уязвимости сейчас, а там, где нельзя исправить — сообщить об этом.
Очень многие, в том числе и признанные специалисты по ИБ, сомневаются в опасности атак на UEFI, считая их слишком дорогими и слишком целевыми, чтобы быть сколько-нибудь опасными для обычного пользователя. То же самое в свое время говорили про любые новые классы атак, пока их не вепонизировали и не добавили в Metasploit. А для UEFI, ноги 80% которого растут из открытого кода проекта TianoCore, сделать это будет весьма несложно. Вот тут ребята из LegbaCore рассказывают подробнее.
Перемычка… раньше ПЗУ были с УФ стиранием.
разве нельзя было сделать обновление прошивки из ОС с цифровой подписью, и прошивку БИОС выполнял бы чипсет, проверяя подпись а система не имела бы прямого доступа непосредственно к микросхеме памяти.
Подставили ключ подписи — перепрошиваешь прошивкой со старым ключем которая предоставляет новый и делов, а если система уже заражена то через программатор.
Я вот неоднократно слышал, что подобный механизм применяется для прошивки самого чипсета, там есть область памяти которую можно прошить только подписанной прошивкой.
Эта тема возникала в связи с обнаружением в китайских платах троянца который заложен в закрытую часть прошивки чипсета и который через собственый гипервизор может делать с системой что угодно, и она этого не заметит, кроме как подсчётом тактов процессора на исполнение отдельных инструкций.
В таком случае, любой код даже самый первый исполняемый байт прошивки БИОСа уже находится под контролем троянца.
разве нельзя было сделать обновление прошивки из ОС с цифровой подписью, и прошивку БИОС выполнял бы чипсет, проверяя подпись а система не имела бы прямого доступа непосредственно к микросхеме памяти.
Подставили ключ подписи — перепрошиваешь прошивкой со старым ключем которая предоставляет новый и делов, а если система уже заражена то через программатор.
Я вот неоднократно слышал, что подобный механизм применяется для прошивки самого чипсета, там есть область памяти которую можно прошить только подписанной прошивкой.
Эта тема возникала в связи с обнаружением в китайских платах троянца который заложен в закрытую часть прошивки чипсета и который через собственый гипервизор может делать с системой что угодно, и она этого не заметит, кроме как подсчётом тактов процессора на исполнение отдельных инструкций.
В таком случае, любой код даже самый первый исполняемый байт прошивки БИОСа уже находится под контролем троянца.
Есть такая технология, называется verified boot, и работает она практически так, как вы описали, я о ней писал в первой статье этого цикла.
Если китайцы умудрились подставить свой код в ME — снимаю перед ними шляпу. Да, в таком случае они имеют возможность выполнить любой код еще до ResetVector'а, и никакими защитами прошивки, кроме переписывания региона МЕ на заведомо чистый, от такого не защититься. Я пока не слышал об успешных атаках на последние версии МЕ, но это не значит, что их не было. Исследованием прошивок внутренних контролеров сейчас занимается буквально 2,5 человека (Игорь Скочинский из HexRays сразу на ум приходит, ребята из LegbaCore и Invisible things Lab, и все считай), поэтому идут они медленно и накопать каких-то адски серьезных уязвимостей пока не получилось.
Если китайцы умудрились подставить свой код в ME — снимаю перед ними шляпу. Да, в таком случае они имеют возможность выполнить любой код еще до ResetVector'а, и никакими защитами прошивки, кроме переписывания региона МЕ на заведомо чистый, от такого не защититься. Я пока не слышал об успешных атаках на последние версии МЕ, но это не значит, что их не было. Исследованием прошивок внутренних контролеров сейчас занимается буквально 2,5 человека (Игорь Скочинский из HexRays сразу на ум приходит, ребята из LegbaCore и Invisible things Lab, и все считай), поэтому идут они медленно и накопать каких-то адски серьезных уязвимостей пока не получилось.
А зачем им что-то подставлять? Они сами эти микросхемы производят и пишут под них прошивки(конфигурируют ПЛИС).
История обнаружения была очень интересная — человек писал под отладочной платой гипервизор, на американских платах все работало безукоризненно, но когда пришла пора проверять на серийных образцах производимых на китайских фабриках его код давал сбои, после долгого расследования выяснилось что сбои происходят по причине что гипервизор выполнялся в другом гипервизоре… а так бы никто ничего не заметил, если бы китайский гипервизор не был бы глючный. Потом они исправились, и после этого единственный способ обнаружить его присутствие — это измерять длительность выполнения специфических команд процессора.
Если учесть что сетевой контроллер завязан напрямую на чипсет — у такого троянца весь трафик перед глазами, получив специфический код извне в общем потоке трафика такой спящий троян в одно мгновение способен вывести из строя компьютерные системы вероятного противника.
История обнаружения была очень интересная — человек писал под отладочной платой гипервизор, на американских платах все работало безукоризненно, но когда пришла пора проверять на серийных образцах производимых на китайских фабриках его код давал сбои, после долгого расследования выяснилось что сбои происходят по причине что гипервизор выполнялся в другом гипервизоре… а так бы никто ничего не заметил, если бы китайский гипервизор не был бы глючный. Потом они исправились, и после этого единственный способ обнаружить его присутствие — это измерять длительность выполнения специфических команд процессора.
Если учесть что сетевой контроллер завязан напрямую на чипсет — у такого троянца весь трафик перед глазами, получив специфический код извне в общем потоке трафика такой спящий троян в одно мгновение способен вывести из строя компьютерные системы вероятного противника.
Подогрею вашу паранойю. Во времена зарождения ME на десктопных платах частенько натыкался в коде прошивок биоса (не UEFI, а самого того костыльно-древнего) на странные строчки AMT и кучу оных параметров, хотя производитель про наличие этого самого ME ничего не утверждал, да и ME там о себе никак не заявлял. Одна такая плата кстати при вырезании этого непонятного кода вообще отказалась заводиться. Вот и думай после этого о шпиЁнах цру и моссад-а. Да, было это во времена царствования 9хх серии чипсетов, где это ME ещё можно было пощупать руками.
Я практически аналогичное слышал, но про партию мат.плат от Интел.
Про это однажды была статья в журнале Хакер, вот она. И речь в ней, как раз, об Intel'овских процессорах и китайских материнских платах для них с изменной прошивкой толи МЕ, толи BMC, толи EC — в общем, одного из набортных контролеров.
Я вполне допуская ненулевую вероятность такой атаки, но стоить она будет весьма недешево, особенно с учетом того, что надо у Intel ключи стащить. Скорее всего, автор статьи зацепил краем глаза какую-то операцию спецслужб США.
Если бояться подобного рода атак, то единственный вариант защиты — открытое железо. И то никто не гаратирует, что на фабрике в него не добавят еще какой-нибудь скрытый контролер, чтобы управлять всем, так что проще всего расслабиться и попытаться получить удовольствие.
Цель ИБ — не предотвратить любые виды атак, а сделать так, чтобы стоимость атаки была выше стоимости обрабатываемой информации. Короче, если вы обрабатываете сверхсекретные сведения — делайте себе для этого процессоры сами. А если вы обрабатываете фотографии котиков — просто не парьтесь и все.
Я вполне допуская ненулевую вероятность такой атаки, но стоить она будет весьма недешево, особенно с учетом того, что надо у Intel ключи стащить. Скорее всего, автор статьи зацепил краем глаза какую-то операцию спецслужб США.
Если бояться подобного рода атак, то единственный вариант защиты — открытое железо. И то никто не гаратирует, что на фабрике в него не добавят еще какой-нибудь скрытый контролер, чтобы управлять всем, так что проще всего расслабиться и попытаться получить удовольствие.
Цель ИБ — не предотвратить любые виды атак, а сделать так, чтобы стоимость атаки была выше стоимости обрабатываемой информации. Короче, если вы обрабатываете сверхсекретные сведения — делайте себе для этого процессоры сами. А если вы обрабатываете фотографии котиков — просто не парьтесь и все.
Нет, ну просто обидно будет если китай вдруг решит защищаться от нападения какой-то страны а у тебя комп потухнет навсегда только потому что тебе не посчастливилось получить материнку из нужной партии. Вдвойне будет обидней, если при этом 90% жителей твоего города будут иметь те же самые проблемы потому что не стали переплачивать за брендовые платы… цифровая жизнь вошла в нашу жизнь настолько плотно, что такой удар даже по некритичным сервисам будет довольно болезненным.
Уж молчу про китайские планшеты, с непонятного происхождения прошивками.
Уж молчу про китайские планшеты, с непонятного происхождения прошивками.
Sign up to leave a comment.
О безопасности UEFI, часть третья