LINUX.ORG.RU

Вирус в Биосе?

 , ,


0

4

Всем привет!

Друзья, есть вопрос: возможно ли заражение БИОС трояном?

Подробней: есть пара старых ноутов, в которых сетевуха сама по себе может оживать после выключения этих ноутов при включении компа или нового ноута) Да. Два ноута юзаю по работе( документы какие - то храню, скрипты на Питоне или на ПХП, копии стареньких проектов и т.д. ), на них стоит Линукс( Parrot Os, если точно. Нравится эта операционка в первую очередь за то, что в коробке куча драйверов, которые на «ура» подходят для моих стареньких ноутов( к примеру, один из них - Lenovo e535 и с дровами на видюху когда - то очень «парился») ), да и радует из коробки уже установленные апач, энжинкс и т.д., и т.п.. Иногда сериалы какие - то смотрю.

Так вот, недавно заметил, что когда ноуты выключаю, а потом через полчаса или час включаю новый ноут или комп, то на роутере обнаруживаю загорание светодиодов, показывающих активность сетевых карт на моих выключенных ноутах. Залез в настройки ноутов и обнаружил выключенным «Wake on lan». Пытался сам даже отправлять «магические пакеты» на ноуты, думая, что все - таки каким - то образом «wake on lan» включен. Нет, ничего вот также не включается. Вот и думаю. Просто раньше был случай, когда ноуты были взломаны и на них был установлен «вредонос». Попытка пропинговать сеть nmap или отправить arp - запросы, чтобы увидеть активные хосты в сети( с помощью arp-scan –localnet ), или просто запустить Ваяшарк с сетевой картой в «promisc» - режиме, ни к чему не приводят - просто горят светодиоды, но никакого дополнительного трафика я не вижу.

В общем, интересует мнение. Возможно ли в БИОС установить трояна, который по событию включается( ну, т.е. ноут не выключается совсем, а сетевуха снифферит определенный пакет( не «магический» при wake on lan ), который разрабом вируса был указан, и далее включается сетевуха и далее, подключаясь через трояна, через DMA( dirrect memory access ), кто - то на ноут залезть может? Или это я перемудрил с домыслами?

Ответ на: комментарий от t184256

Спасибо за ответ! Про это я тоже знаю. Насколько я понял, там должны быть открыты порты, чтобы кто - то мог подключиться. При выключенных и включенных ноутах запускал нмап, сканил все с разными ключами - ничего не обнаружил

max_wt_tt ()
Ответ на: комментарий от Kolins

//Снифферить трафик с выключенного ноута и смотреть что там происходит пробовал?

да. на Микротике запускал сниффинг для трансляции на ноут. При включении компа, он стандартно посылает арп о том, что он в сети и т.д. Сетевухи на старых ноутах включаются( загораются светодиоды ), но трафика никакого нет.

max_wt_tt ()
Ответ на: комментарий от xmikex

сетевой карте до pxe как до луны раком :) сетевуха просто передает туда-сюда данные, с конвертацией и умудрениями в сложном случае. сетевуха даже не подозревает что передела pxe.

pxe и среда для его исполнения нужна биосу для того чтобы передать pxe эстафету загрузки компуктера. биос загружает pxe и запускает его на центральном процессоре.

емнип процессор сетевой карты имеет, как минимум, доступ к дма-контроллеру и может записывать/считывать информацию с памяти компутера. насколь ентое ему дозволено и можно ли отследить уже другой вопрос…

pfg ★★★★★ ()
Ответ на: комментарий от xmikex

Ну, тут могу ошибаться, но для встроенных обновлялок там в любом случае не только драйвер, но и весь нужный стек с DHCP-клиентом. Размеры ромов сейчас куда больше, чем в девяностых.

anonymous ()
Ответ на: комментарий от anonymous

Ребята, хочу уточнить: есть ли для старых процессоров амд аналог современного amt?

Т.е. у меня один из старых ноутов - Lenovo e535, с процессором amd a4))) Возможен ли для данной древней системы аналог Intel® Active Management( т.е. чтобы удаленно можно было в ноут зайти при условии, якобы, отключения операционки )?

Если да, как можно отключить? в БИОС полазил - не нашел) Извиняюь за, возможно, ламерский вопрос

max_wt_tt ()

Это столько умных слов только на основании того, что светодиоды на микротике моргнули? А если на немикротик какой-нибудь поменять?

Toxo2 ★★ ()
Ответ на: комментарий от max_wt_tt

если так и не шутите. то аппаратные закладки существуют. и речь не столько про биос-киты или уефи-киты. dma-механизмы утилизируются под зловредные pci устройства, rom'ы.

чаще сетевые карточки, сидюки. бэкдур от нса (название забыл), который на основе раджи или как он там назывался, именно так и работает. там хоть запереустанавливай ОС - толку не будет. выход один - утилизация техники. инфы в инете валом - в основном на китайском и английском языках. вот вводная статья:

В финальной части мы продемонстрируем, что установка закладок в BIOS или в прошивки PCI с целью получения возможности тихой загрузки удаленных начинок через http-соединение является практичной и убивает всякую надежду обнаружить заражение с помощью существующих инструментов программно-технической экспертизы и антивирусов. Посредством данной статьи мы надеемся повысить осведомленность индустрии об опасностях, связанных со стандартом PCI, особенно касающихся использования прошивок с закрытым исходным кодом, поставляющихся с каждым компьютером, их целостности и истинного предназначения.

Подробнее: https://www.securitylab.ru/analytics/432914.php

Инфекция остается даже при перезаписи ROM BIOS за счет заражения множества прошивок PCI (например, прошивки CDROM) вредоносными сетевыми прошивками, способными обновлять содержимое любого другого PCI ROM удаленно (например, перезаразить BIOS главный PCI ROM сети) при сохранении первоначальной функциональности

Подробнее: https://www.securitylab.ru/analytics/432914.php

спецслужбы всего мира уже давным давно взяли на вооружение такие техники имплантации. но это... что называется блидинг-едже в мире информационного шпионажа. про софт уже давным давно все забыли, сейчас аппаратный уровень под прицелом. хотя конечно против таргетированных атак пациента ничего не спасёт. там идёт в ход комплекс оперативных мероприятий.

вот лично меня прослушивали, была слежка. взламывали домашний роутер. домашний комп. я так и не понял - зачем я понадобился спецслужбам... может где-то что-то не то ляпнул... типа проверили...

anonymous ()
Ответ на: комментарий от anonymous

//у вас звания есть? или так… принеси-подай?)) есть закон о тайне частной переписке, неприкосновенности личной жизни и тп. не боитесь законы нарушать?

А, вообще, это к чему было???

max_wt_tt ()
Ответ на: комментарий от max_wt_tt

вообще если
«включаю новый ноут или комп, то на роутере обнаруживаю загорание светодиодов»
логично было бы подумать, что то, что ты включаешь пытается через сеть роутера получить доступ к ресурсам тех самых выключенных ноута/компа и поэтому временно роутер показывает, что пытается отправить им пакеты какие-то.

xmikex ★★★★ ()

Друзья, есть вопрос: возможно ли заражение БИОС трояном?

Почему бы не сдампить биос и сравнить с эталонным с сайта производителя?

V1KT0P ★★ ()

возможно ли заражение БИОС трояном?

В общем случае, да, возможно. На практике бывают случаи самые экзотические, вплоть до заражения прошивок некоторых видов периферийного оборудования.

Вёл список микросхем, на которых возможна запись «на лету». По иронии судьбы буквально на днях к этому списочку пришёл в гости пушной зверь.

sparkie ()
Ответ на: комментарий от anonymous

аппаратные вирусы с внедрением себя в прошивки устройств требуют очень умных програмистов, а с этим сейчас жопа.

так что внедрять эти закладки для слежением за толпой «неуловимых джо», которые к тому же прекрасно подвержены более простым и дешевым методам лохотронства, как минимум глупо. это как никак засветка технологий и весьма дорого кода.
так что ждать чтоб ЦРУ и ФСБ конкретно в тебе о великий анонимус заинтересовалась это надо натворить делов :) а уж коль творишь делов то и позаботься об обрезании засветок.
будьте и дальше неуловимыми джо.

pfg ★★★★★ ()
Ответ на: комментарий от max_wt_tt

Не, там ничего не надо, точнее ты не проконтролируешь, потому что, например, в случае IntelME технически все ОС работают в виртуалочке, которая сама и есть IntelME с minix-ом на борту. Но там очень глубоко всё закопано, если ты не АНБ США и не штеуд, то не раскопать скорее всего.

peregrine ★★★★★ ()
Ответ на: комментарий от anonymous

я больше поверю в деградацию содержимого eeprom или какого-то звзедеца в железяке (got 0x0000 прозрачно на это намекает), чем в то, что кто-либо намеренно влез в прошивку встроенной сетевухи среднестатистического компуктера какого-то серого анонимуса из очень средней рассеи :)

pfg ★★★★★ ()
Ответ на: комментарий от anonymous

чтобы вместо фантазий про слежку NSA к тебе приехали уже вполне настоящие дяди в масках из ФСБ?

А что плохого они сделают законопослушному гражданину, у которого проблемы с оборудованием? ТС, например, только выиграет, ему помогут разобраться железом, при возникновении такой же проблемы.

anonymous ()
Ответ на: комментарий от Legioner

Вряд ли у тебя троян,

кому ты нужен.

Какой триггер, мне в отделении также говорили, про ненужность и прочее (до разговора по существу): «Вы только не переживайте», «всё прояснится» и прочие трюки школьного психолога.

anonymous ()
Ответ на: комментарий от anonymous

к тебе приехали уже вполне настоящие дяди в масках из ФСБ?

ТС, например, только выиграет, ему помогут разобраться

А ты наивный. РФ не та страна где спецслужбы помогают!

Или я что-то пропустил?

Пример США: ФБР обязана помогать гражданам и бизнесу в безопасности, включая ИТ безопасность. ФБР от АНБ, DoD US, … передается информация о вирусах и ФБР распространяет ее гражданам и бизнесу в пригодном для использования конечным пользователям виде - база вирусных сигнатур.

Подобное делает также правительство Франции.

Еще страны? Ссылки на государственные базы сигнатур кто знает?

anonymous ()