Сейчас на форуме: vsv1, NIKOLA, r0lka, johnniewalker (+3 невидимых)

 [email protected] —› Крэки, обсуждения —› UEFI руткиты
<< . 1 . 2 . 3 .
Посл.ответ Сообщение


Ранг: 605.2 (!), 341thx
Активность: 0.470.25
Статус: Модератор
Research & Development

Создано: 23 октября 2018 17:00
· Личное сообщение · #1

Собираем в этой теме инфу по UEFI руткитам и трюкам.

Начало серии постов ntldr о руткитах:
--> Link <--

LoJax - руткит

Статья на русском:
- LoJax: первый известный UEFI руткит, используемый во вредоносной кампании

Документ на английском:
- ESET-LoJax.pdf

-----
EnJoy!


| Сообщение посчитали полезным: yashechka, WildGoblin, mak

Ранг: 369.8 (мудрец), 400thx
Активность: 0.390
Статус: Участник

Создано: 15 марта 2019 18:58 · Поправил: ntldr
· Личное сообщение · #2

ValdikSS, спасибо, полезная работа.

К слову, руткит можно разместить и на отдельной USB флешке (чипе от неё), припаянном к материнской плате. Или даже замаскировать флешку внутри корпуса USB разъёма. Но в Setup BIOS будет светиться странный порядок загрузки...

-----
PGP key <0x1B6A24550F33E44A>




Ранг: 81.6 (постоянный), 102thx
Активность: 0.060.02
Статус: Участник

Создано: 26 марта 2019 20:24
· Личное сообщение · #3

В тему:
Building reliable SMM backdoor for UEFI based platforms

| Сообщение посчитали полезным: mak, plutos


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 29 марта 2019 21:02
· Личное сообщение · #4

--> EfiGuard<-- is a portable x64 UEFI bootkit that patches the Windows boot manager, boot loader and kernel at boot time in order to disable PatchGuard and Driver Signature Enforcement (DSE).

-----
Give me a HANDLE and I will move the Earth.


| Сообщение посчитали полезным: ValdikSS, mak

Ранг: 72.4 (постоянный), 33thx
Активность: 0.050.03
Статус: Участник

Создано: 01 апреля 2019 02:20 · Поправил: ValdikSS
· Личное сообщение · #5

Эксплуатация подписанных загрузчиков для обхода защиты UEFI Secure Boot (Silent UEFIinSecureBoot Disk)
https://habr.com/ru/post/446072/

Добавлено спустя 53 минуты
Вообще, есть полезный сайт https://firmwaresecurity.com/, с кучей новостей по UEFI.

| Сообщение посчитали полезным: plutos, mak

Ранг: 7.1 (гость)
Активность: 0.020
Статус: Участник

Создано: 01 апреля 2019 11:37
· Личное сообщение · #6

plutos интересная и готовая штука. но... hvci оно не обходит, что и не удивительно ибо патчит обычное ядро по итогу, а не секурное (которое под гипервизором), как и вообще момент запуска гипервизора не обрабатывается, на данный момент кстати я не видел статей, чтобы копали его (хотя должен сказать что не искал вообще, просто ни статей, ни обсуждений не встречал).
по итогу - включен hvci оно не работает, секурбут вроде только на 7 робит. но все равно крутотень конечно. лет 5 назад такое никто бы не выложил)

хотя может я что-то не так понял или напутал)




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 01 апреля 2019 12:10
· Личное сообщение · #7

superakira пишет:
хотя может я что-то не так понял или напутал)


думаю, что вы все поняли правильно, но и сам могу ошибаться, посколько особенно не вникал.
Тема показалась интересной, вот и выложил ссылку с твердым намерением со временем все детально исследовать.
На каждой странице github'a есть раздел "Issues", где можно задавать вопросы авторам проэкта.
Конечно зависит от конкретного человека, но большинство охотно отвечают.
Так что не стесняйтесь, спрашивайте, авторы свой проэкт знают лучше, чем кто-либо другой.

-----
Give me a HANDLE and I will move the Earth.




Ранг: 81.6 (постоянный), 102thx
Активность: 0.060.02
Статус: Участник

Создано: 13 мая 2019 00:15
· Личное сообщение · #8

Возможно, пригодится...
--> https://github.com/quarkslab/dreamboot <--



Ранг: 7.1 (гость)
Активность: 0.020
Статус: Участник

Создано: 23 мая 2019 12:55
· Личное сообщение · #9

кстати допилили книжку
rootkits & bootkits

на амазоне уже обосрали =( черт даже обидно. как раз вроде по теме (хотя зачем древние штуки они описывали.. не ясно) и уефи бкиты там как раз заявлены были.




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 23 мая 2019 21:39 · Поправил: plutos
· Личное сообщение · #10

superakira пишет:
кстати допилили книжку


Да, об этом уже писали. (https://exelab.ru/f/action=vthread&forum=2&topic=2387&page=40)

plutos пишет:
Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats Александра Матросова наконец-то вышла в свет!


superakira пишет:
зачем древние штуки они описывали


Да потому, что книгу эту они начали лет 10 назад, если не раньше. Надо было либо с нуля переписывать, что бы обновить, либо уже издавать как есть.
А человек, написавший разгромную рецензию, прочел на момент ее написания всего 8 первых глав (как он сам признает!).
Книга и правда устарела, не успев родиться, но все же кое-что полезное можно извлечь. Тут ведь все зависит от уровня читателя.

-----
Give me a HANDLE and I will move the Earth.





Ранг: 337.5 (мудрец), 348thx
Активность: 2.112.42
Статус: Участник

Создано: 23 мая 2019 22:15 · Поправил: difexacaw
· Личное сообщение · #11

plutos

Прямо няшка, такое доброе лицо, вы только купите книгу --> Link <--

А если там перепечатка чужих работ то его ждёт неудача очень большая.

-----
vx





Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 24 мая 2019 01:40
· Личное сообщение · #12

difexacaw пишет:
вы только купите книгу


а зачем ее покупать, вон МАК уже выложил в разделе Ебуки.

-----
Give me a HANDLE and I will move the Earth.




Ранг: 145.8 (ветеран), 190thx
Активность: 0.140.36
Статус: Участник

Создано: 24 мая 2019 07:20
· Личное сообщение · #13

superakira пишет:
кстати допилили книжку
rootkits & bootkits

Это рожалось в таких муках и на какой-то момент стало не нужно даже аффтарам, которые знатно пропиарились в свое время тыря чужие наработки для своих статеек и выступлений, а потом долго-долго пиарились на этом гапс гавне, попутно скачя по разным АВ конторам. Отсюда и тот казус что большая часть посвящена "современным угрозам" из 32 битной венды и мбр эпохи. Потом это надо было как-то закончить и туда наспех воткнули главы про ефи (благо lojax подошел и появился хоть какой-то материал - "современные угрозы" же бггг). Расписывали CI и остановились угадай где? На windows 8. Потому что весь этот материал был написан в 2011-2013 году. Вот и получилась в итоге книжка про малварку нулевых, пересказ паблик инфы, ссылок на гитхабы(причем мы и так все их знаем включая EDK2) и демонстрация возможностей uefitool (надо отдать тут должное они хотя бы внесли лепту в ее развитие). Если выкинуть 3/4 этих мемуаров и оставить относительно свежую часть (страниц 50 со скриншотами и таблицами), то книжка сойдет для общего образования. Ни академических сэмплов собственной разработки(!), ни актуальной инфы по десяткам тут нет (ладно вру есть целая 1 страница слизанная с доков мс). Книжка имхо писалась под чье-то портфолио не более. Да бгг эта тема поинтереснее будет.

| Сообщение посчитали полезным: plutos


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 26 мая 2019 01:37
· Личное сообщение · #14

Alchemistry пишет:
Это рожалось в таких муках и на какой-то момент стало не нужно даже аффтарам, которые знатно пропиарились в свое время


Ну, видимо в это и была идея: создать шум вокруг своего имени, а уж как именно - вопрос второстепенный. Дальше будут говорить и писать "Автор такой-то и такой-то книги", а какая там книга, мало кто знает.
А звучит очень пиздато...
Я лично рад одному: что не потратил своих кровных на эти 50 страниц.

-----
Give me a HANDLE and I will move the Earth.




Ранг: -1.3 (гость)
Активность: 0.01=0.01
Статус: Участник

Создано: 26 мая 2019 03:56
· Личное сообщение · #15

ХорОШИЕ люди разработали свободные альтернативы bios:
Coreboot/Libreboot



Ранг: 81.6 (постоянный), 102thx
Активность: 0.060.02
Статус: Участник

Создано: 26 мая 2019 14:06 · Поправил: Dart Raiden
· Личное сообщение · #16

Исходники TianoCore так-то тоже свободные. Правда, подавляющему большинству пользователей толку от coreboot - ноль, потому что на железе этого большинства пользователей оно не работает. А libreboot - это кастрированный coreboot, где по идеологическим причинам полностью исключена возможность работы на большей части современного железа (Intel, начиная с Nehalem, и AMD, начиная с Ryzen).

Ну и до кучи... говорить, что coreboot - альтернатива BIOS, это ошибка уровня "голое колесо это альтернатива автомобилю". Сoreboot грузит payload (с реализацией BIOS или UEFI, которая, в свою очередь, уже может загрузить любую ОС (впрочем, в качестве payload может выступать ядро линукс, но одним линуксом сыт не будешь)).



Ранг: -1.3 (гость)
Активность: 0.01=0.01
Статус: Участник

Создано: 26 мая 2019 16:38
· Личное сообщение · #17

BIOS/UEFI ,позволяют злоумышленникам загрузить и выполнить произвольный код,спровоцировать отказ в работе устройства, также извлекать информацию,обрабатываемую процессором/имеет доступ к содержимому памяти,практически ко всем данным на компьютере и может исполнять сторонний код,вряд ли обнаружат стандартные защитные решения).
Шифрони Coreboot/Libreboot алго SERPENT вход по паролю вход по ключу).
Клерк посоветуй книг по html?




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 29 мая 2019 11:12 · Поправил: reversecode
· Личное сообщение · #18

Alchemistry пишет:
Это рожалось в таких муках

Alchemistry пишет:
Вот и получилась в итоге книжка про малварку нулевых, пересказ паблик инфы


ну это старикам она мало интересна
а молодые вон подлизывают по интернету как самая крутая книга по мелваре
и очень рекомендуют покупать



Ранг: -12.6 (нарушитель), 11thx
Активность: 0.050.03
Статус: Участник

Создано: 29 мая 2019 14:11
· Личное сообщение · #19

По-моему, самый главный критерий любой технической книги - донести до читателя что-то, что ему было непонятно и самое главное научить чему-то. Если это есть - книга хорошая, если этого нет - книга плохая.


P.S. А вдруг у книги есть тайное предназначение - выявлять стариков а сайтах профильной тематики.
Мне вот интересно какое мнение об этой книге будет у Boostyq?



Ранг: 81.6 (постоянный), 102thx
Активность: 0.060.02
Статус: Участник

Создано: 31 мая 2019 19:58 · Поправил: Dart Raiden
· Личное сообщение · #20

Lobido пишет:
BIOS/UEFI ,позволяют злоумышленникам загрузить и выполнить произвольный код,спровоцировать отказ в работе устройства, также извлекать информацию,обрабатываемую процессором/имеет доступ к содержимому памяти,практически ко всем данным на компьютере и может исполнять сторонний код,вряд ли обнаружат стандартные защитные решения).


Любая ОС это также позволяет. И Libreboot это тоже позволяет. Ровно тем же способом, что и UEFI - через эксплуатацию уязвимостей, которые есть везде.



Ранг: -1.3 (гость)
Активность: 0.01=0.01
Статус: Участник

Создано: 16 июня 2019 17:22
· Личное сообщение · #21

Как правило,для прерывания int 13h в таблице хранится адрес кода bios,который использует имеющуюся информацию о жестких дисках для взаимодействия с контроллером.
Прерывание int 13h представляет целую категорию дисковых функций,входят функции записи на диск,чтения с диска,форматирования дорожек получения информации о диске,13h для чтения/записи адреса CHS/LBA int 13h.
(Геометрия и внутреннее устройство жесткого диска)




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 17 июня 2019 11:23 · Поправил: plutos
· Личное сообщение · #22

Lobido пишет:
Прерывание int 13h представляет целую категорию дисковых функций


и это тоже давным-давно известно, кому надо, тот давно это знает.

Если есть ссылки на интересные книги, статьи, блоги, ресурсы, то для них есть спец --> тема<--.
Туда их и выкладывай.

-----
Give me a HANDLE and I will move the Earth.



<< . 1 . 2 . 3 .
 [email protected] —› Крэки, обсуждения —› UEFI руткиты
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати