Comments 10
Снимаю шляпу как перед авторами бэкдора, так и перед сделавшими реверс. По сути дела эта зараза какраз настоящий Birus (BIOS + Virus), хоть и специфичная для конкретного железа. Однако с унификацией UEFI и операционок данную заразу вполне можно переписать под универсальный инфектор (включаем uefi toolkit внутрь модуля, который первоначально заносит заразу в систему, меняем цель на ядро винды/линукса, работа с сетью у нас есть на уровне самого UEFI, кода много тащить с собой не надо, и готово, я бы ещё сделал загрузку полезной нагрузки по сети в момент запуска ОС)
ВОТ ЭТО МЯСО!!!
Спасибо за статью!)
Спасибо за статью!)
Вот кстати по поводу необходимости TPM можно ещё поспорить — тут можно и без неё, если намертво заблокировать запись в flash с кодом uefi/bios.
Хитрый план.
Безусловно, это защитит BIOS от перезаписи, и, следовательно, от перехвата управления на этапе загрузки платформы. Но как тогда обновить ROMMON (который является частью BIOS), в случае, если нужно будет добавить в него новый функционал, или закрыть обнаруженные уязвимости?
Поэтому запрет на запись в BIOS Flash здесь не выход. Нужно смотреть именно в сторону программно-аппаратных средств защиты, таких как, например, Intel Boot Guard.
Безусловно, это защитит BIOS от перезаписи, и, следовательно, от перехвата управления на этапе загрузки платформы. Но как тогда обновить ROMMON (который является частью BIOS), в случае, если нужно будет добавить в него новый функционал, или закрыть обнаруженные уязвимости?
Поэтому запрет на запись в BIOS Flash здесь не выход. Нужно смотреть именно в сторону программно-аппаратных средств защиты, таких как, например, Intel Boot Guard.
Вариант с подписаным загрузчиком тоже хороший. А по хорошему — надо выносить этот самый ROMMON из uefi в основное хранилище, и за компанию врубать BG. Впрочем если рассматривать супер-пупер защиту, то к TPM прийдется вернуться, всётаки TXT штука хорошая.
Хранить на отдельном носителе. Типа флешки. В устройстве доступ только на чтение, вынул, вставил в комп, залил новую прошивку и перенес обратно в устройство.
При работе, прошивка обычно загружается в память, в теории можно вынимать флешку даже при работающей системе.
Вынул, залил новую прошивку, вставил, при следующей загрузке, прошивка обновилась.
При работе, прошивка обычно загружается в память, в теории можно вынимать флешку даже при работающей системе.
Вынул, залил новую прошивку, вставил, при следующей загрузке, прошивка обновилась.
Весьма объемная статья. Спасибо.
Позвольте дилетантский вопрос. Если с заражением через физически й доступ все ясно, то как технически возможно заражение по сети? Ведь подобные устройства на архитектурном уровне обязаны преспкать любые попытки удаленного админского доступа, нет?
Спасибо за вопрос. Что касается заражения по сети, то как мы описывали выше, есть вариант через RCE (всё работает от рута, считай админ). Также, есть вариант через удаленное обновление, при наличии учётной записи пользователя, у которого есть права на загрузку образа. Можно это сделать как по SSH, так и через ASDM. А вот торчащие наружу SSH, ASDM и т.д. это уже отдельный вопрос политики ИБ компании. Можно посмотреть шоданом.
Отличная статья.
Про AMT бы кто написал столь подробно. С возможными разъяснениями по защите.
Про AMT бы кто написал столь подробно. С возможными разъяснениями по защите.
Sign up to leave a comment.
Архитектура JETPLOW – NSA бэкдор в моей подставке под кофе