Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Prvi UEFI rootkit, proof of concept

[es] :: Security :: Prvi UEFI rootkit, proof of concept

[ Pregleda: 2142 | Odgovora: 9 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Prvi UEFI rootkit, proof of concept28.09.2018. u 16:25 - pre 66 meseci
https://www.welivesecurity.com...nd-wild-courtesy-sednit-group/

"UEFI rootkits are widely viewed as extremely dangerous tools for implementing cyberattacks, as they are hard to detect and able to survive security measures such as operating system reinstallation and even a hard disk replacement. Some UEFI rootkits have been presented as proofs of concept; some are known to be at the disposal of (at least some) governmental agencies. However, no UEFI rootkit has ever been detected in the wild – until we discovered a campaign by the Sednit APT group that successfully deployed a malicious UEFI module on a victim’s system."

I onda:
"
Remediation of a UEFI firmware-based compromise is a hard problem. There are no easy ways to automatically remove such a threat from a system. In the case we described above: in order to remove the rootkit, the SPI flash memory needs to be reflashed with a clean firmware image specific to the motherboard. This is a delicate operation that must be performed manually. It is definitely not a procedure that most computer owners are familiar with. The only alternative to reflashing the UEFI/BIOS is to replace the motherboard of the compromised system outright.
"



 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.web.vodafone.de.



+7169 Profil

icon Re: Prvi UEFI rootkit, proof of concept28.09.2018. u 16:59 - pre 66 meseci
Koliko ja vidim, nije ovde problem UEFI vec mogucnost programskog SPI flashovanja iz OSa. Nebitno kakav ti firmware trci ako napadac moze da flesuje patchovan firmware onda je game over za tebe. To kako LoJack menja fajlove na fajlsistemu je tehnikalija.

Zatvoriti bilo kakvu mogucnost flashovanja bez hardverske asistencije i potpisanih firmwarea.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Prvi UEFI rootkit, proof of concept28.09.2018. u 17:00 - pre 66 meseci
Je'l se kao EFI rootkit racuna Sonic Screwdriver ? To je vise-manje in the wild vec par godina....
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Prvi UEFI rootkit, proof of concept29.09.2018. u 00:47 - pre 66 meseci
Ovde kazu da ima rootkita, ali da je ovo prvi put da su uspeli da ubace na neki komp. Da ako OS moze da prepise firmware onda smo uvek u problemu.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Prvi UEFI rootkit, proof of concept29.09.2018. u 06:02 - pre 66 meseci
Ako OS ne moze da prepise firmware onda nemamo nacina da ga updateujemo.

Ovo sto Ivan kaze jedino ima smisla. OS koji moze da ga prepise, ali uz asistenciju hardvera i kripto-verifikaciju. Drugacije to nije firmware vec uprzeni kod u ROM koji nikad ne moze da se menja.
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Prvi UEFI rootkit, proof of concept29.09.2018. u 06:05 - pre 66 meseci
Zaro to vec nema sada?
 
Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.181.*

Sajt: angelstudio.org


+392 Profil

icon Re: Prvi UEFI rootkit, proof of concept29.09.2018. u 06:58 - pre 66 meseci
Samo procitajte gore o exploitu, ne moze da prodje secure boot, to vam je ta "kripto verifikacija". Uostalom, ako je firmware exploitovan, moze i da se vrati na originalni.
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.adsl-surfen.hetnet.nl.



+7169 Profil

icon Re: Prvi UEFI rootkit, proof of concept29.09.2018. u 09:23 - pre 66 meseci
Samo hardver bato, samo hardver.

Znaci, jumper na ploci, pod kljucem - o's flashujes BIOS/UEFI? Moze, al' prvo da stavis jumper u "flash" polozaj" - da bez toga nema fizicke mogucnosti da se patchuje fw, naravno kriptografska provera toga sta se flashuje se podrazumeva. Kome se ne svidja, treba da postoji >HARDVERSKA< opcija da se iskljuci (ok, volim da przim moj UEFI, da mu stavljam custom microcode, DXE drajvere i trista cuda, moze nema frke, ali samo ti to potvrdi jumperom).

Naravno, ovo nece proci :( Zasto?

Zato sto su jos pre N godina menadzeri hteli da im armije racunara odrzavaju remote iz Bangalore-a, i tu nastaje problem - kako flashovati firmware ako nemas nikog da "setuje jumper" u datacentru koji plovi na nekom brodu... tako sad imamo kojekakve kvazi-softverske zastite koje su u stvari go *rac cesto, ali baja iz Hyderabada moze da ti patchuje 100000 racunara.

U principu moguce je donekle zastititi flash proces softverski, kombinacija Boot Guard-a i ME-a koji stiti flash drasticno komplikuju posao h4xorima ali nisu nepobedivi, kao sto se vidi i TSX je puk'o zbog prevelikog brbljanja procesora, ko garantuje da nesto slicno nece cekati i Boot Guard.

Nego bato jumper, prekinuta linija i nema da flashujes makar crk'o, osim ako ne posaljes klinca u kapuljaci :) da ti udje u data centar i rucno flashuje malware.

DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Space Beer
ISS

Član broj: 325788
Poruke: 107
*.ctl.go4adsl.net.



+93 Profil

icon Re: Prvi UEFI rootkit, proof of concept29.09.2018. u 09:33 - pre 66 meseci
Zanimljiv deo :)
Citat:
Our research has shown that the Sednit operators used different components of the LoJax malware to target a few government organizations in the Balkans as well as in Central and Eastern Europe.

Gde nas nađoše? Ovde za kutiju cigara i jednu flašu žestine možeš dobiti pristup čemu god 'oćeš

MOram videti da li mi je uključen secure boot. Mada ja flešujem BIOS redovno, tj. kako izlaze nove verzije
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16683
*.adsl-surfen.hetnet.nl.



+7169 Profil

icon Re: Prvi UEFI rootkit, proof of concept29.09.2018. u 10:32 - pre 66 meseci
Vidi da ti je ukljucen i Boot Guard (cesto je to sakrivena opcija u UEFI setupu, morao bi verovatno da nadjes rucno koji je registar i proveris da li je ukljucen, mada pazi ako je laptop i ako nije ukljucen po defaultu moze da se desi da brickujes sistem ako inzenjeri proizvodjaca nisu testirali takvu konfiguraciju).

Moja ploca (Z10PE D8 WS) ima BG iskljucen po defaultu, nesto slicno kao sto je opisano ovde, a sa starim verzijama UEFI firmwarea je imao rupetinu u BG-u:

https://embedi.com/blog/bypassing-intel-boot-guard/

AMI je fixovao ovu glupost.

Mada pretpostavljam da su Microsoft i Intel pritisli OEM-e u Skylake generaciji da ovo regulisu, za vreme Haswell-a je ovo bio cist Texas.

@bojan_bozovic,

Secure boot nije dovoljan - secure boot omogucava UEFI-ju da autentifikuje operativni sistem (tj. bootloader) i OS-u da autentifikuje masinu i obezbedi lanac poverenja od momenta boot-a ali i dalje nije kompletna kriptografska verifikacija boot lanca.

Da bi imao kompletan lanac proveren, moras da ukljucis i Boot Guard, u kom slucaju ce i same komponente firmware-a biti kriptografski proverene, u tom slucaju imas kriptografsku proveru od momenta paljenja procesora.

Na zalost, nema zastite protiv sampionskog koda, tako da su ranije verzije AMI Aptio UEFI firmware-a imale katastrofalan propust (videti link gore) koji je pustao izvrsavanje cak i kada BG prijavi gresku u validaciji firmware-a (!!!!) umesto da urade momentalan shutdown sistema. Da. Ludilo.

U principu ako je Boot Guard korektno implementiran, Secure Boot ukljucen i sistemski firmware sprecava flash-ovanje firmware-a iz OS-a, postaje jako tesko za napadace da se ugnezde u firmware.

Ali ni to nije 100% zastita, ko zna mozda neko negde provali bug... zato kazem, stari dobri jumperi za flashovanje BIOS-a (danas Firmware-a)...

Bar za to napadaci moraju fizicki da dodju do maticne ploce, u kom slucaju vec mogu i da uzmu diskove ili ubodu preprogramirani BIOS cip :-)))
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

[es] :: Security :: Prvi UEFI rootkit, proof of concept

[ Pregleda: 2142 | Odgovora: 9 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.