LINUX.ORG.RU

В UEFI нашли первый руткит

 , ,


1

8

А помните как задвигали про секурность, надежность и как пользователи только выиграют?


UEFI-руткиты могут сохраняться на флэш-памяти материнской платы, что обеспечивает им постоянство и скрытность. В последние несколько лет руткиты UEFI активно исследовались и обсуждались, но не было представлено конкретных доказательств реальных кампаний, активно пытающихся скомпрометировать системы на этом уровне.

Руткит называется LoJax. Название - это дань базовому коду, который является модифицированной версией программного обеспечения Absolute Software LoJack для восстановления ноутбуков. Цель законного программного обеспечения LoJack - помочь жертвам украденного ноутбука получить доступ к своему ПК, не предупреждая плохих парней, которые его украли. Он скрывается в UEFI системы и скрытно передает его местонахождение владельцу для возможного физического восстановления ноутбука.

Уязвимость позволила изменить один несколько байтов, содержащих информацию о домене, к которому должно подключиться законное программное обеспечение для загрузки кода для восстановления системы. В случае LoJax эти байты содержали управляющие команды, которые в конечном итоге доставляли полезную нагрузку руткита.

Цепочка заражения типична: атака начинается с электронного письма, который обманом заставляет жертву загрузить и запустить небольшой агент rpcnetp.exe. Rpcnetp.exe устанавливается и обращается к системному браузеру Internet Explorer, который используется для связи с внешними доменами.

«Получив точку опоры на машине, я смогу использовать этот инструмент для развертывания полноценного руткита UEFI», - пояснил Вахон, добавив, что хакерский инструмент использует преимущества для вендоров, позволяющих удаленную прошивку. «Руткит UEFI будет находиться в области флэш-памяти последовательного периферийного интерфейса (SPI)», - сказал он.

Каждый раз, когда система перезагружается, код выполняется при загрузке, до загрузки ОС и до запуска антивирусного программного обеспечения системы. Это означает, что даже если жесткий диск устройства будет заменен, руткит все равно будет работать.

После установки UEFI-руткита пользователь не может ничего сделать, кроме как перепрошить SPI-память или выкинуть материнскую плату целиком.

https://tech.slashdot.org/story/19/01/01/2148232/first-ever-uefi-rootkit-tied...

Перемещено tailgunner из talks


Ответ на: комментарий от anonymous

не всё коре/либребутовское железо требует наличия блоба микрокода в биосе для успешной загрузки, например тот Lenovo G505S и без микрокода прекрасно работает, если не считать что без этого блоба низкоуровневая виртуализация - не всякие VMWare/VirtualBox с которыми всё хорошо, а уровня Xen/QubesOS - будет глючить

SakuraKun ★★ ()
Ответ на: комментарий от SakuraKun

было 2 флехи. обе usb3.0, но одна китай нонейм, вторая корсаровская. обе имели размер 16гб. нонейм и корсар - по скорости различались в 4 раза. нонейм стоил 10 баксов, корсар стоил 35 баксов. мне кажется, что у тебя примерно тот же случай.

shashilx ()
Ответ на: комментарий от anonymous

надёжные (?) SSD с типом памяти MLC стоят намного дороже за гиг по сравнению с HDD, к тому же теряют инфу если к компу долго не подключать, и если дохнут то внезапно - в отличие от HDD, который может «как бы намекать» даже неделю

SakuraKun ★★ ()
Ответ на: комментарий от SakuraKun

думаю, похожая ситуация и со многими другими устройствами, и наверняка многие из них вообще никакого выигрыша не дают - просто назвали «3.0»

Это чушь. Хотя в твоём случае с винчестером такое может быть, если он древний и тормозной.
Разница в скорости шины около десятичного порядка.

Прошивка твоей USB коробки с диском - это блоб, кстати.

anonymous ()
Ответ на: комментарий от shashilx

жёсткий диск - терабайтник от известной фирмы Seagate в фирменном корпусе, не нонейм . а флешки лучше Netac U335 юзать, потому что это единственные «3.0» флешки с аппаратной защитой от записи

SakuraKun ★★ ()
Ответ на: комментарий от anonymous

Разница в скорости шины около десятичного порядка

но эта разница в скорости шины не переходит в соответствующую разницу в производительности, ни один внешний жёсткий диск не сможет со скоростью 5 гигабит читать/писать инфу

Прошивка твоей USB коробки с диском - это блоб, кстати

пока что это необходимое зло, но надеюсь человечество и от него сможет отказаться. + без сообщника в виде UEFI / ME / PSP этому блобу будет сложно натворить дел

SakuraKun ★★ ()
Ответ на: комментарий от SakuraKun

ты продолжаешь ))) сторонний, не от сигейта... оно может быть и от сигейта. но оно не должно быть дешевым. я привел примерную разницу в цене флех, так примерно и с жесткими дисками. есть вон 1 тб внешний за 50-60 долларов, а есть и за 300. вангую, что...

shashilx ()
Ответ на: комментарий от SakuraKun

ни один внешний жёсткий диск не сможет со скоростью 5 гигабит читать/писать инфу

2-3 гигабита из кеша уже умеют некоторые экземпляры. Что-то около того.

anonymous ()
Ответ на: комментарий от RedEyedMan4

Я не очень понимаю, в чем смысл угона, когда можно втихую сливать данные жертвы и очень долго, практически до поломки матери.
т.к. сперва надо пробраться в здание/дом

красноглаз4, разупорись, у слов бывает несколько значений.

SevikL ★★★★ ()
Ответ на: комментарий от shashilx

сомневаюсь что даже за 300 можно купить терабайтник который на 5 гигабитах будет гонять :) и даже если такое чудо существует, на эти деньги я лучше десять отдельных терабайтников куплю и подключу параллельно

SakuraKun ★★ ()
Ответ на: комментарий от SakuraKun

Это тебя вычислил ББ и спецом срезал скорость за твои убеждения :-)

У меня что пол Linux, что под офтопом в реальности где-то раза в 4 быстрее при записи файлов на ЖД USB 3.0

Так что, The Matrix has you, Neo :-D

Twissel ★★★★★ ()
Ответ на: комментарий от Twissel

Понятно :-) В-общем если заинтересует G505S, можешь коребут вместе с блобом USB 3.0 собирать - он всего лишь 32 КБ весит и без сообщника UEFI может быть не покусает как Штольман меня ;)

SakuraKun ★★ ()
Последнее исправление: SakuraKun (всего исправлений: 2)
Ответ на: комментарий от anonymous

ведь USB 3.0 мало где даёт выигрыш

Всего в 10 раз пропускная способность 3-й версии больше. Копейки же. Ну будет SATA-диск работать со скоростью IDE через SATA-USB.

Radjah ★★★★★ ()

Цепочка заражения типична: атака начинается с электронного письма, который >обманом заставляет жертву загрузить и запустить небольшой агент rpcnetp.exe

Т.е. белый список ПО и ничего не заработает? И получается, нужны не закрытые rce и lpe, чтобы это сработало.

anonymous ()
Ответ на: комментарий от anonymous

А микрокод процессора это не блоб?

Так, наверно, старая версия трояна шьется на кремний проца еще на фабрике, а микрокод только апгрейдит ее?

Где еще искать трояны?

BIOS/UEFI

Boot сектор (в т.ч. виртуально подменяемый прошивкой носителя)

Firmware устройств, как из их ПЗУ, активируемые BIOS, так и заливаемые из non-free пакетов линупса после старта

Non-free дрова видюх и т.п. блобы

Какие еще варианты? Я так понимаю тут важно просто включить фантазию ибо хорошо накормленные разработчики АНБ, свою фантазию включили еще лет 10-20 назад причем на полную катушку, и все ваши фантазии уже давно превратили в реальность.

graxma ()
Ответ на: комментарий от SakuraKun

жёсткий диск - терабайтник от известной фирмы Seagate в фирменном корпусе, не нонейм . а флешки лучше Netac U335 юзать, потому что это единственные «3.0» флешки с аппаратной защитой от записи

Интересно, где можно добыть флэшки размером 64Мб под ядро, где предположительно в старый контроллер не влезет современный троян, хотя много ли специального персонифицированного кода надо для подмены бут сектора такой флэшки?

graxma ()

А разве Absolute Software это не те чуваки, которые свой бекдор пихают в делловские ноуты? Cumtrace или типа того. Так вот если его не врубать, то он будет выключен. Совсем. Плюс при помощи программатора таки можно перешить чип и выпилить эту хрень целиком вместе с Intel ME и всей этой гадостью. Не знаю, останется ли жизнеспособным руткит, но короче всегда же можно выпилить. Ну и конечно не юзай винду не запускай что попало на своём компьютере и ограничивай доступ ОС к специфичным функциям материнской платы, типа обновления ПО. Большинство прошивальщиков работают из FreeDOS.

Deleted ()
Ответ на: комментарий от SakuraKun

На нормальном железе переходит. У меня когда был внешний винт он по юсб писал так же как напрямую. И вагон флешек с записью 95мбайт/сек есть. Что на 2.0 недостижимо.

dk- ()
Ответ на: комментарий от graxma

Интересно, где можно добыть флэшки размером 64Мб под ядро

Может быть у китайцев на алиэкспрессе, бывают же у них карты памяти 128МБ. Но в таких флэшках скорее всего свежие контроллеры, просто с багованной памятью - вот и залили прошивки с доступом только к стабильной верхушке. Поэтому лучше искать на всяких барахолках типа авито, вдруг кто реальное старьё продаёт

Или GRUB тоже зашить в ПЗУху?

Можно в виде дополнения к коребуту, правда зачем? если есть SeaBIOS который намного меньше весит и свою основную задачу - показ boot menu - выполняет на отлично

А под это:
https://en.wikipedia.org/wiki/Open-source_hardware
есть линупсы?

Может и есть, но к «open-source hardware» нужно относиться к осторожностью: некоторые хитрые производители считают что если открыли схемы платы то это даёт им право заявить «open-source hardware!» - а то что плата не работает без закрытых бинарников это типа неважно

SakuraKun ★★ ()
Ответ на: комментарий от Deleted

Так вот если его не врубать, то он будет выключен. Совсем.

а если, по крайней мере на некоторых ноутах или для некоторых людей, этот выключатель нерабочий?

при помощи программатора таки можно перешить чип и выпилить эту хрень целиком

а вдруг там ещё одна похожая хрень зарыта, или спрятана запакованная восстановлялка этой хрени? поэтому к закрытым бинарникам, особенно таким огромным, доверия нету. блоб 32-64КБ ещё как-то можно попытаться расковырять, а образ биоса 4МБ а то и 8МБ фиг возьмёшь

SakuraKun ★★ ()
Последнее исправление: SakuraKun (всего исправлений: 2)