Pull to refresh

Comments 10

Снимаю шляпу как перед авторами бэкдора, так и перед сделавшими реверс. По сути дела эта зараза какраз настоящий Birus (BIOS + Virus), хоть и специфичная для конкретного железа. Однако с унификацией UEFI и операционок данную заразу вполне можно переписать под универсальный инфектор (включаем uefi toolkit внутрь модуля, который первоначально заносит заразу в систему, меняем цель на ядро винды/линукса, работа с сетью у нас есть на уровне самого UEFI, кода много тащить с собой не надо, и готово, я бы ещё сделал загрузку полезной нагрузки по сети в момент запуска ОС)
Вот кстати по поводу необходимости TPM можно ещё поспорить — тут можно и без неё, если намертво заблокировать запись в flash с кодом uefi/bios.
Хитрый план.

Безусловно, это защитит BIOS от перезаписи, и, следовательно, от перехвата управления на этапе загрузки платформы. Но как тогда обновить ROMMON (который является частью BIOS), в случае, если нужно будет добавить в него новый функционал, или закрыть обнаруженные уязвимости?

Поэтому запрет на запись в BIOS Flash здесь не выход. Нужно смотреть именно в сторону программно-аппаратных средств защиты, таких как, например, Intel Boot Guard.
Вариант с подписаным загрузчиком тоже хороший. А по хорошему — надо выносить этот самый ROMMON из uefi в основное хранилище, и за компанию врубать BG. Впрочем если рассматривать супер-пупер защиту, то к TPM прийдется вернуться, всётаки TXT штука хорошая.
Хранить на отдельном носителе. Типа флешки. В устройстве доступ только на чтение, вынул, вставил в комп, залил новую прошивку и перенес обратно в устройство.

При работе, прошивка обычно загружается в память, в теории можно вынимать флешку даже при работающей системе.
Вынул, залил новую прошивку, вставил, при следующей загрузке, прошивка обновилась.
Позвольте дилетантский вопрос. Если с заражением через физически й доступ все ясно, то как технически возможно заражение по сети? Ведь подобные устройства на архитектурном уровне обязаны преспкать любые попытки удаленного админского доступа, нет?
Спасибо за вопрос. Что касается заражения по сети, то как мы описывали выше, есть вариант через RCE (всё работает от рута, считай админ). Также, есть вариант через удаленное обновление, при наличии учётной записи пользователя, у которого есть права на загрузку образа. Можно это сделать как по SSH, так и через ASDM. А вот торчащие наружу SSH, ASDM и т.д. это уже отдельный вопрос политики ИБ компании. Можно посмотреть шоданом.
Отличная статья.
Про AMT бы кто написал столь подробно. С возможными разъяснениями по защите.
Only those users with full accounts are able to leave comments. Log in, please.

Information

Founded
Location
Россия
Website
dsec.ru
Employees
51–100 employees
Registered

Habr blog