Уязвимо ли ядро к манипуляциям изве?

0

2

В связи с очень интересным механизмом внедрения своего руткита через uefi как тут https://www.opennet.ru/opennews/art.shtml?num=59224 возник вопрос. Насколько устойчив линукс к влиянию извне? Может ли uefi или Intel me дёргать int 0x80 тем самым манипулируя хост ос? Копаться в ОЗУ понятно что может но там рандомизация адресного пространства и наизменять осмысленно что то сложно.

←	Нужна помощь наставника по API ChatGpt

1C Development

→

Если тебе засунули троян в EFI, с тем же успехом могут гонять твою ОС под гипервизором и делать что угодно.

L29Ah ★
(01.06.23 16:39:32 MSK)

Ответ на: комментарий от L29Ah 01.06.23 16:39:32 MSK

Я спрашиваю что конкретно можно сделать с линуксом ядром в автоматическом режиме. И как усилить защиту. Какие векторы атаки.

bga_ ★★★★
(01.06.23 16:51:46 MSK) автор топика

Ответ на: комментарий от L29Ah 01.06.23 16:39:32 MSK

Я пытался извне scanmem'ом редактировать память игрушки в виртуалбоксе - нифига не находит. Напрямую всё ок.

~~bo4ok~~ ★
(01.06.23 16:56:12 MSK)

Ответ на: комментарий от bga_ 01.06.23 16:51:46 MSK

Принципиально - ничего. Полное гомоморфное шифрование ОС разве что, но это утопия)

~~bo4ok~~ ★
(01.06.23 16:57:47 MSK)

Ответ на: комментарий от bga_ 01.06.23 16:51:46 MSK

Я спрашиваю что конкретно можно сделать с линуксом ядром в автоматическом режиме

Просканировать физическую память на предмет таблицы символов ядра. Проставить jmp my_malicious_substitute; в начало любой функции из таблицы символов.

red75prim ★★★
(01.06.23 17:00:56 MSK)
Последнее исправление: red75prim 01.06.23 17:01:27 MSK (всего исправлений: 1)

Как медленно до тебя доходило. Эта «проблема» актуальна с тех пор, как биос стали хранить на флешке без возможности механически запретить её перезапись, т.е. уже лет 25 или больше.

Да, код, который исполняется до ОС, может делать с ОС что угодно, и ничего ты против этого не предпримешь, не меняя платформу с самого основания.

firkax ★★★★★
(01.06.23 17:23:07 MSK)

Жуть. Руткит, который детектится через ls /sys/firmware/acpi/tables.

undef ★★
(01.06.23 18:15:24 MSK)

Ответ на: комментарий от undef 01.06.23 18:15:24 MSK

Как понять, что там что-то лишнее? В чём проблема фильтровать вывод getdents64?

ratvier ★★
(02.06.23 10:11:29 MSK)

Ответ на: комментарий от ratvier 02.06.23 10:11:29 MSK

Увидел таблицу WPBT, значит всё, уязвим жеж. Осталось добавить в ядро поддержку WPBT и Windows Native API и можно фильтровать.

undef ★★
(02.06.23 11:42:40 MSK)

Ответ на: комментарий от L29Ah 01.06.23 16:39:32 MSK

а что сделать нужно чтобы убрать троян из EFI?

переписать ефи? при накатывании нового ядра оно не переписывается?

user13
(02.06.23 11:47:09 MSK)

Ответ на: комментарий от user13 02.06.23 11:47:09 MSK

а что сделать нужно чтобы убрать троян из EFI?

Перепрошить ROM микросхему на материнской плате с UEFI.

X512 ★★★★★
(02.06.23 15:09:09 MSK)
Последнее исправление: X512 02.06.23 15:09:34 MSK (всего исправлений: 1)

гипотетично руткит могут всунуть через Ethernet. «не забывайте выключать [s]утюг[/s] опции в BIOS». (и то, остаются сомнения)

Был немало удивлён, что у двух новых компов, изначально была включена сетевая загрузка.

MKuznetsov ★★★★★
(02.06.23 16:35:16 MSK)

←	Нужна помощь наставника по API ChatGpt

Development

1C Development

→

Похожие темы