LINUX.ORG.RU

В UEFI нашли первый руткит

 ,


1

8

А помните как задвигали про секурность, надежность и как пользователи только выиграют?


UEFI-руткиты могут сохраняться на флэш-памяти материнской платы, что обеспечивает им постоянство и скрытность. В последние несколько лет руткиты UEFI активно исследовались и обсуждались, но не было представлено конкретных доказательств реальных кампаний, активно пытающихся скомпрометировать системы на этом уровне.

Руткит называется LoJax. Название - это дань базовому коду, который является модифицированной версией программного обеспечения Absolute Software LoJack для восстановления ноутбуков. Цель законного программного обеспечения LoJack - помочь жертвам украденного ноутбука получить доступ к своему ПК, не предупреждая плохих парней, которые его украли. Он скрывается в UEFI системы и скрытно передает его местонахождение владельцу для возможного физического восстановления ноутбука.

Уязвимость позволила изменить один несколько байтов, содержащих информацию о домене, к которому должно подключиться законное программное обеспечение для загрузки кода для восстановления системы. В случае LoJax эти байты содержали управляющие команды, которые в конечном итоге доставляли полезную нагрузку руткита.

Цепочка заражения типична: атака начинается с электронного письма, который обманом заставляет жертву загрузить и запустить небольшой агент rpcnetp.exe. Rpcnetp.exe устанавливается и обращается к системному браузеру Internet Explorer, который используется для связи с внешними доменами.

«Получив точку опоры на машине, я смогу использовать этот инструмент для развертывания полноценного руткита UEFI», - пояснил Вахон, добавив, что хакерский инструмент использует преимущества для вендоров, позволяющих удаленную прошивку. «Руткит UEFI будет находиться в области флэш-памяти последовательного периферийного интерфейса (SPI)», - сказал он.

Каждый раз, когда система перезагружается, код выполняется при загрузке, до загрузки ОС и до запуска антивирусного программного обеспечения системы. Это означает, что даже если жесткий диск устройства будет заменен, руткит все равно будет работать.

После установки UEFI-руткита пользователь не может ничего сделать, кроме как перепрошить SPI-память или выкинуть материнскую плату целиком.

https://tech.slashdot.org/story/19/01/01/2148232/first-ever-uefi-rootkit-tied...

Перемещено tailgunner из talks



Последнее исправление: maiden (всего исправлений: 6)

Ответ на: комментарий от anonymous

не всё коре/либребутовское железо требует наличия блоба микрокода в биосе для успешной загрузки, например тот Lenovo G505S и без микрокода прекрасно работает, если не считать что без этого блоба низкоуровневая виртуализация - не всякие VMWare/VirtualBox с которыми всё хорошо, а уровня Xen/QubesOS - будет глючить

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

было 2 флехи. обе usb3.0, но одна китай нонейм, вторая корсаровская. обе имели размер 16гб. нонейм и корсар - по скорости различались в 4 раза. нонейм стоил 10 баксов, корсар стоил 35 баксов. мне кажется, что у тебя примерно тот же случай.

shashilx ★★
()
Ответ на: комментарий от anonymous

надёжные (?) SSD с типом памяти MLC стоят намного дороже за гиг по сравнению с HDD, к тому же теряют инфу если к компу долго не подключать, и если дохнут то внезапно - в отличие от HDD, который может «как бы намекать» даже неделю

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

думаю, похожая ситуация и со многими другими устройствами, и наверняка многие из них вообще никакого выигрыша не дают - просто назвали «3.0»

Это чушь. Хотя в твоём случае с винчестером такое может быть, если он древний и тормозной.
Разница в скорости шины около десятичного порядка.

Прошивка твоей USB коробки с диском - это блоб, кстати.

anonymous
()
Ответ на: комментарий от shashilx

жёсткий диск - терабайтник от известной фирмы Seagate в фирменном корпусе, не нонейм . а флешки лучше Netac U335 юзать, потому что это единственные «3.0» флешки с аппаратной защитой от записи

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

я тебе напомню - между жестким диском и портом юсб еще находится юсб-сата переходник. и если он гавно - то вот твои всегото и 10% прироста.

shashilx ★★
()
Ответ на: комментарий от SakuraKun

от известной фирмы Seagate в фирменном корпусе

О, у тебя фирменный сигейтовский зонд, а не какой-нибудь китайский noname.

anonymous
()
Ответ на: комментарий от anonymous

Разница в скорости шины около десятичного порядка

но эта разница в скорости шины не переходит в соответствующую разницу в производительности, ни один внешний жёсткий диск не сможет со скоростью 5 гигабит читать/писать инфу

Прошивка твоей USB коробки с диском - это блоб, кстати

пока что это необходимое зло, но надеюсь человечество и от него сможет отказаться. + без сообщника в виде UEFI / ME / PSP этому блобу будет сложно натворить дел

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

с чего ты решил, что шина создавалась ТОЛЬКО для жесктких дисков? она еще и для других веще тоже создавалась

shashilx ★★
()
Ответ на: комментарий от shashilx

она еще и для других вещей тоже создавалась

для каких, например? внешних USB 3.0 видеокарт я пока вживую не видел

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

ты продолжаешь ))) сторонний, не от сигейта... оно может быть и от сигейта. но оно не должно быть дешевым. я привел примерную разницу в цене флех, так примерно и с жесткими дисками. есть вон 1 тб внешний за 50-60 долларов, а есть и за 300. вангую, что...

shashilx ★★
()
Ответ на: комментарий от SakuraKun

ни один внешний жёсткий диск не сможет со скоростью 5 гигабит читать/писать инфу

2-3 гигабита из кеша уже умеют некоторые экземпляры. Что-то около того.

anonymous
()
Ответ на: комментарий от Deleted

Я не очень понимаю, в чем смысл угона, когда можно втихую сливать данные жертвы и очень долго, практически до поломки матери.
т.к. сперва надо пробраться в здание/дом

красноглаз4, разупорись, у слов бывает несколько значений.

SevikL ★★★★★
()
Ответ на: комментарий от shashilx

сомневаюсь что даже за 300 можно купить терабайтник который на 5 гигабитах будет гонять :) и даже если такое чудо существует, на эти деньги я лучше десять отдельных терабайтников куплю и подключу параллельно

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

жёсткий диск

2y19

Прекрати уже, человек-анекдот.

anonymous
()
Ответ на: комментарий от SakuraKun

Жалкие оправдания скрипящего ржаваго железа.

anonymous
()
Ответ на: комментарий от SevikL

у слов бывает несколько значений.

Не в данном случае, дружок.

Deleted
()
Ответ на: комментарий от SakuraKun

Это тебя вычислил ББ и спецом срезал скорость за твои убеждения :-)

У меня что пол Linux, что под офтопом в реальности где-то раза в 4 быстрее при записи файлов на ЖД USB 3.0

Так что, The Matrix has you, Neo :-D

Twissel ★★★★★
()
Ответ на: комментарий от Twissel

Понятно :-) В-общем если заинтересует G505S, можешь коребут вместе с блобом USB 3.0 собирать - он всего лишь 32 КБ весит и без сообщника UEFI может быть не покусает как Штольман меня ;)

SakuraKun ★★★★★
()
Последнее исправление: SakuraKun (всего исправлений: 2)

И опять социальная инженерия, а не что-то техническое. :(

Radjah ★★★★★
()
Ответ на: комментарий от anonymous

ведь USB 3.0 мало где даёт выигрыш

Всего в 10 раз пропускная способность 3-й версии больше. Копейки же. Ну будет SATA-диск работать со скоростью IDE через SATA-USB.

Radjah ★★★★★
()
Ответ на: комментарий от anonymous

USB 3.0 мало где даёт выигрыш

Ну да, кроме тех немногих случаев, когда нужна скорость передачи данных

annulen ★★★★★
()
Ответ на: комментарий от ad3

Вот раньше (2004 год) ключи на Касперыча были аж на 4 года, а у тебя всего на год виртуалов.

Маловато будет :-D

Twissel ★★★★★
()
Ответ на: комментарий от anonymous

Может быть. Я горжусь тем, что смотрел сабж еще с гундосым переводом, гы!

Twissel ★★★★★
()

Цепочка заражения типична: атака начинается с электронного письма, который >обманом заставляет жертву загрузить и запустить небольшой агент rpcnetp.exe

Т.е. белый список ПО и ничего не заработает? И получается, нужны не закрытые rce и lpe, чтобы это сработало.

anonymous
()
Ответ на: комментарий от anonymous

А микрокод процессора это не блоб?

Так, наверно, старая версия трояна шьется на кремний проца еще на фабрике, а микрокод только апгрейдит ее?

Где еще искать трояны?

BIOS/UEFI

Boot сектор (в т.ч. виртуально подменяемый прошивкой носителя)

Firmware устройств, как из их ПЗУ, активируемые BIOS, так и заливаемые из non-free пакетов линупса после старта

Non-free дрова видюх и т.п. блобы

Какие еще варианты? Я так понимаю тут важно просто включить фантазию ибо хорошо накормленные разработчики АНБ, свою фантазию включили еще лет 10-20 назад причем на полную катушку, и все ваши фантазии уже давно превратили в реальность.

graxma
()
Ответ на: комментарий от graxma

И не забывайте, что троян сидит в нулевом ринге и мы его не видим абсолютно ничем, он как призрак.

graxma
()
Ответ на: комментарий от SakuraKun

жёсткий диск - терабайтник от известной фирмы Seagate в фирменном корпусе, не нонейм . а флешки лучше Netac U335 юзать, потому что это единственные «3.0» флешки с аппаратной защитой от записи

Интересно, где можно добыть флэшки размером 64Мб под ядро, где предположительно в старый контроллер не влезет современный троян, хотя много ли специального персонифицированного кода надо для подмены бут сектора такой флэшки?

graxma
()

А разве Absolute Software это не те чуваки, которые свой бекдор пихают в делловские ноуты? Cumtrace или типа того. Так вот если его не врубать, то он будет выключен. Совсем. Плюс при помощи программатора таки можно перешить чип и выпилить эту хрень целиком вместе с Intel ME и всей этой гадостью. Не знаю, останется ли жизнеспособным руткит, но короче всегда же можно выпилить. Ну и конечно не юзай винду не запускай что попало на своём компьютере и ограничивай доступ ОС к специфичным функциям материнской платы, типа обновления ПО. Большинство прошивальщиков работают из FreeDOS.

Deleted
()
Ответ на: комментарий от SakuraKun

На нормальном железе переходит. У меня когда был внешний винт он по юсб писал так же как напрямую. И вагон флешек с записью 95мбайт/сек есть. Что на 2.0 недостижимо.

dk-
()
Ответ на: комментарий от SakuraKun

На юсб3 продают внешне ссд. Внезапно с 450-500 Мбайт сек записи.

dk-
()
Ответ на: комментарий от Andrey110682

А вендоврзам как быть то?! Мои почтовики ни один не пускают бинарники. Только запароленные в архиве если.

dk-
()
Ответ на: комментарий от graxma

Интересно, где можно добыть флэшки размером 64Мб под ядро

Может быть у китайцев на алиэкспрессе, бывают же у них карты памяти 128МБ. Но в таких флэшках скорее всего свежие контроллеры, просто с багованной памятью - вот и залили прошивки с доступом только к стабильной верхушке. Поэтому лучше искать на всяких барахолках типа авито, вдруг кто реальное старьё продаёт

Или GRUB тоже зашить в ПЗУху?

Можно в виде дополнения к коребуту, правда зачем? если есть SeaBIOS который намного меньше весит и свою основную задачу - показ boot menu - выполняет на отлично

А под это:
https://en.wikipedia.org/wiki/Open-source_hardware
есть линупсы?

Может и есть, но к «open-source hardware» нужно относиться к осторожностью: некоторые хитрые производители считают что если открыли схемы платы то это даёт им право заявить «open-source hardware!» - а то что плата не работает без закрытых бинарников это типа неважно

SakuraKun ★★★★★
()
Ответ на: комментарий от Deleted

Так вот если его не врубать, то он будет выключен. Совсем.

а если, по крайней мере на некоторых ноутах или для некоторых людей, этот выключатель нерабочий?

при помощи программатора таки можно перешить чип и выпилить эту хрень целиком

а вдруг там ещё одна похожая хрень зарыта, или спрятана запакованная восстановлялка этой хрени? поэтому к закрытым бинарникам, особенно таким огромным, доверия нету. блоб 32-64КБ ещё как-то можно попытаться расковырять, а образ биоса 4МБ а то и 8МБ фиг возьмёшь

SakuraKun ★★★★★
()
Последнее исправление: SakuraKun (всего исправлений: 2)

Ничего, скоро все пофиксят.

Shulman
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.