LINUX.ORG.RU

В UEFI нашли первый руткит

 , ,


1

8

А помните как задвигали про секурность, надежность и как пользователи только выиграют?


UEFI-руткиты могут сохраняться на флэш-памяти материнской платы, что обеспечивает им постоянство и скрытность. В последние несколько лет руткиты UEFI активно исследовались и обсуждались, но не было представлено конкретных доказательств реальных кампаний, активно пытающихся скомпрометировать системы на этом уровне.

Руткит называется LoJax. Название - это дань базовому коду, который является модифицированной версией программного обеспечения Absolute Software LoJack для восстановления ноутбуков. Цель законного программного обеспечения LoJack - помочь жертвам украденного ноутбука получить доступ к своему ПК, не предупреждая плохих парней, которые его украли. Он скрывается в UEFI системы и скрытно передает его местонахождение владельцу для возможного физического восстановления ноутбука.

Уязвимость позволила изменить один несколько байтов, содержащих информацию о домене, к которому должно подключиться законное программное обеспечение для загрузки кода для восстановления системы. В случае LoJax эти байты содержали управляющие команды, которые в конечном итоге доставляли полезную нагрузку руткита.

Цепочка заражения типична: атака начинается с электронного письма, который обманом заставляет жертву загрузить и запустить небольшой агент rpcnetp.exe. Rpcnetp.exe устанавливается и обращается к системному браузеру Internet Explorer, который используется для связи с внешними доменами.

«Получив точку опоры на машине, я смогу использовать этот инструмент для развертывания полноценного руткита UEFI», - пояснил Вахон, добавив, что хакерский инструмент использует преимущества для вендоров, позволяющих удаленную прошивку. «Руткит UEFI будет находиться в области флэш-памяти последовательного периферийного интерфейса (SPI)», - сказал он.

Каждый раз, когда система перезагружается, код выполняется при загрузке, до загрузки ОС и до запуска антивирусного программного обеспечения системы. Это означает, что даже если жесткий диск устройства будет заменен, руткит все равно будет работать.

После установки UEFI-руткита пользователь не может ничего сделать, кроме как перепрошить SPI-память или выкинуть материнскую плату целиком.

https://tech.slashdot.org/story/19/01/01/2148232/first-ever-uefi-rootkit-tied...

Перемещено tailgunner из talks


В UEFI нашли первый руткит

Уязвимость

После установки UEFI-руткита

А я уж думал его сами вендоры вшивают в плату :) Заголовок такой заголовок. А есть способ узнать присутствует ли он во флэш-памяти платы?

RedEyedMan4 ★★★★★ ()
Ответ на: комментарий от maiden

А его вендоры и вшивают в плату, далее его просто можно угнать.

Ну... разве что ноут, тогда да, печально. С системным блоком дело обстоит несколько труднее, т.к. сперва надо пробраться в здание/дом, где находится инфицированный комп. А хомячки вроде меня мало кому интересны :)

Я не очень понимаю, в чем смысл угона, когда можно втихую сливать данные жертвы и очень долго, практически до поломки матери.

RedEyedMan4 ★★★★★ ()

Уязвимость позволила изменить один байт, содержащий информацию о домене,

Этот байт - ключ для xor, а вот сам адрес уже 4 байта. Поправь. Как вообще можно упихать IP адрес в 1 байт?

Hartmann ()
Ответ на: комментарий от maiden

Алсо, имеет ценность информация, а не сама железка. Так что, этот руткит может использоваться не только для угона (что редкость), можно слить данные, вывести из строя плату жертвы с целью недопущения передачи информации третьим лицам и т.д.

RedEyedMan4 ★★★★★ ()
Ответ на: комментарий от Hartmann

This vulnerability allowed Sednit to customize a single byte that contains the domain information for the legitimate software to connect to in order to download the recovery software

У меня тут перевод а не отсебятина. Все вопросы к изначальным писакам. А вообще я бы даже не переводил ничего, просто копипасту на англюсике принес, да только мочераторы опять возбудятся на дискуссию не на русском языке.

maiden ()

Цепочка заражения типична: атака начинается с электронного письма, который обманом заставляет жертву загрузить и запустить небольшой агент rpcnetp.exe.

Как я это упустил: типичный лоховник запустит exeшник с почты, Карл!

Сколько себя помню e-mail'ами я почти не пользовался, да и ехешники еще не доводилось запускать с почты. Может есть и другие пути заражения? А есть бинарник под линь?

RedEyedMan4 ★★★★★ ()
Ответ на: комментарий от maiden

Информацию о домене никак не запихать в 1 байт. Даже на IPv4 надо минимум 4. И в принте притащенном хвостострелом английским по белому написано:

The differences between the legitimate and trojanized agent are so small that the figures above actually show most of the changes between them. All the LoJax small agent samples we could recover are trojanizing the exact same legitimate sample of the Computrace small agent rpcnetp.exe. They all have the same compilation timestamp and only a few tens of bytes are different from the original one. Besides the modifications to the configuration file, the other changes include timer values specifying the intervals between connections to the C&C server.

Hartmann ()

Это обновлённый LoJack или они побывали в будущем?

пояснил Вахон

Чёрт. Прослезился аж. Почему-то подумал, что Вахон и Вазон (он же vazonez) это одно лицо. Спасибо UFR Stealer за счастливое детство!

rpcnetp.exe

У кого-то есть? Что будет если в wine запустить?

CryNet ★★ ()

TLDR:

  • Конкретно данный руткит - чисто виндовый, UEFI там нужен для патча виндовых exe на NTFS перед загрузкой;
  • Степень вины LoJack (CompuTrace) я не понял. Кажется их софт сам по себе руткит и им было достаточно пропатчить его бинарь (домен), чем писать свой руткит (заодно усложнив работу антивирусам);
  • Сие поделие работает только на неправильно сконфигурированных материнках, которые не закрывают возможность записи в SPI. Проверить свою мать можно опенсорсной тулзой chipsec (не забываем прочесть warning);
  • Пишут фирмварю в штеуде те ещё индусы, ибо первая версия защиты BIOS от перезаписи эксплойтилась тривиальнейшим race condition-ом
snizovtsev ★★★ ()
Ответ на: комментарий от snizovtsev

Не считаю железо 2013-2014 года таким уж старьём, тем более с нашими традиционными +5% производительности в год. Вот что там есть на AMD - без бекдора PSP (аналог Intel ME) в процессоре:

  • один десктоп ( ASUS KCMA-D8 ) и два мощных сервака на Оптеронах ( ASUS KFSN4-DRE / ASUS KGPE-D16 ) которые вообще без блобов, т.е. 100% опенсорс и есть в либребуте
  • два четырёхъядерных ноута ( HP Pavilion m6 1035dx / Lenovo G505S ) куда можно поставить 16 гигов оперативки, и шесть шустрых десктопов ( ASUS F2A85-M / MSI MS-7721 // AsRock E350M1 / AsRock IMB-A180 / ASUS AM1I-A / Biostar AM1ML ) - пишу только те в поддержке которых я уверен - они с небольшим количеством блобов но на 99% опенсорс и инициализирует железо опенсорсная AGESA
SakuraKun ★★ ()
Последнее исправление: SakuraKun (всего исправлений: 1)
Ответ на: комментарий от Twissel

Первый раз Lenovo G505S прошивается программатором, а дальше можешь софтово при помощи команды

sudo flashrom -p internal:laptop=force_I_want_a_brick,amd_imc_force=yes -w coreboot.rom

Впрочем, может быть теперь даже и в первый раз можно софтово прошивать, но все равно лучше чтобы у всех коребутчиков был программатор с прищепкой и хотя бы раз аппаратно прошивали: повышается вероятность что они внесут в коребут какие-нибудь улучшения, ведь если умеешь «раскирпичивать» ты можешь безбоязненно править исходники и ставить свои эксперименты!

Подробное руководство по прошивке BIOS-чипа, с картинками и ссылками на прищепки - http://dangerousprototypes.com/docs/Flashing_a_BIOS_chip_with_Bus_Pirate . Дополнительно можешь прошить его мульт KB9012 «чистой» прошивкой с удалёнными серийниками (опенсорсную замену пока ещё не доделали) , но это возможно только аппаратно, при помощи шлейфа вставленного в клавиатурный разъём - http://dangerousprototypes.com/docs/Flashing_KB9012_with_Bus_Pirate

SakuraKun ★★ ()
Последнее исправление: SakuraKun (всего исправлений: 3)

LINUX
Форум — Security
Перемещено tailgunner из talks
Rpcnetp.exe устанавливается и обращается к системному браузеру Internet Explorer

Ну-ну... в толксах этому было самое место.

anonymous ()
Ответ на: комментарий от nomathere

Только где взять такую плату?

на каком-нибудь авито/юле ;)

Ты блоб видишь?

либребутовское железо блобов совсем не использует, а про коребутовское нужно конкретно смотреть что за блобы остались; например для G505S обязательные блобы разобрали и ничего подозрительного не нашли, а необязательные просто не устанавливать, например и без блоба XHCI можно прожить, и пусть все порты будут работать как USB 2.0 - ничего страшного, ведь USB 3.0 мало где даёт выигрыш

anonymous ()
Ответ на: комментарий от nomathere

У меня есть tyan 8226 с парой оптеронов 4284. Плату, судя по новостям, удалили из коребута, тк не пользовалась популярностью. Но не думаю, что могут быть проблемы со сборкой.

Deleted ()
Ответ на: комментарий от Deleted

Tyan S8226 удалили скорее потому что никто не портировал её с LATE_CBMEM_INIT на EARLY_CBMEM_INIT . 4.7 коребут выпущенный в начале 2018 и на каком-то диапазоне более поздних коммитов - соберётся, а в 4.8 середины 2018 Tyan S8226 уже нету и непонятно что будет если ты просто скопируешь свои исходники туда и попробуешь скомпилить

SakuraKun ★★ ()
Последнее исправление: SakuraKun (всего исправлений: 1)
Ответ на: комментарий от Twissel

Если бы штольманофилами были все то мы бы не оказались в ситуации когда зонды и хакерские мокрописьки официально сидят на железячном уровне. Столлман как всегда оказался прав.

Поэтому не надо тут батоны крошить.

ad3 ()
Ответ на: комментарий от SakuraKun

Tyan S8226 удалили скорее потому что никто не портировал её с LATE_CBMEM_INIT на EARLY_CBMEM_INIT

Скорее всего. Но не портировали, наверняка, из-за того, что этой платы не было у активных участников сообщества или просто не было интереса с ней возиться.
У меня это железо пока еще трудится в качестве домашнего сервера, но осталось недолго. Не думаю, что у меня возникнет желание ковыряться коребутом для этой платы, но если найдутся любители свободы(как тот, кому я отвечал), то отлично.

Deleted ()
Ответ на: комментарий от Twissel

у меня внешний жёсткий диск типа «USB 3.0» но от порта 3.0 получает всего лишь около +10% к производительности по сравнению с 2.0, а 5 гигабитами даже и не пахнет! думаю, похожая ситуация и со многими другими устройствами, и наверняка многие из них вообще никакого выигрыша не дают - просто назвали «3.0» да USB в синий цвет покрасили чтобы народ больше покупал. а «всего лишь 10%» можно и принести в жертву дядюшке Штольману, за швабоду-то ;)

SakuraKun ★★ ()