eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июня!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: yashechka, sfinks_2002, UniSoft, Osoro (+6 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Крэки, обсуждения —› UEFI руткиты
<< . 1 . 2 . 3 .
Посл.ответ Сообщение


Ранг: 581.0 (!)
Статус: Модератор
Research & Development

Создано: 23 октября 2018 17:00 New!
Цитата · Личное сообщение · #1

Собираем в этой теме инфу по UEFI руткитам и трюкам.

Начало серии постов ntldr о руткитах:
--> Link <--

LoJax - руткит

Статья на русском:
- LoJax: первый известный UEFI руткит, используемый во вредоносной кампании

Документ на английском:
- ESET-LoJax.pdf

| Сообщение посчитали полезным: yashechka, WildGoblin, mak


Ранг: 370.2 (мудрец)
Статус: Участник

Создано: 15 марта 2019 18:58 · Поправил: ntldr New!
Цитата · Личное сообщение · #2

ValdikSS, спасибо, полезная работа.

К слову, руткит можно разместить и на отдельной USB флешке (чипе от неё), припаянном к материнской плате. Или даже замаскировать флешку внутри корпуса USB разъёма. Но в Setup BIOS будет светиться странный порядок загрузки...

Ранг: 73.7 (постоянный)
Статус: Участник

Создано: 26 марта 2019 20:24 New!
Цитата · Личное сообщение · #3

В тему:
Building reliable SMM backdoor for UEFI based platforms

| Сообщение посчитали полезным: mak, plutos



Ранг: 453.7 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 29 марта 2019 21:02 New!
Цитата · Личное сообщение · #4

--> EfiGuard<-- is a portable x64 UEFI bootkit that patches the Windows boot manager, boot loader and kernel at boot time in order to disable PatchGuard and Driver Signature Enforcement (DSE).

| Сообщение посчитали полезным: ValdikSS, mak


Ранг: 71.5 (постоянный)
Статус: Участник

Создано: 1 апреля 2019 02:20 · Поправил: ValdikSS New!
Цитата · Личное сообщение · #5

Эксплуатация подписанных загрузчиков для обхода защиты UEFI Secure Boot (Silent UEFIinSecureBoot Disk)
https://habr.com/ru/post/446072/

Добавлено спустя 53 минуты
Вообще, есть полезный сайт https://firmwaresecurity.com/, с кучей новостей по UEFI.

| Сообщение посчитали полезным: plutos, mak


Ранг: 7.1 (гость)
Статус: Участник

Создано: 1 апреля 2019 11:37 New!
Цитата · Личное сообщение · #6

plutos интересная и готовая штука. но... hvci оно не обходит, что и не удивительно ибо патчит обычное ядро по итогу, а не секурное (которое под гипервизором), как и вообще момент запуска гипервизора не обрабатывается, на данный момент кстати я не видел статей, чтобы копали его (хотя должен сказать что не искал вообще, просто ни статей, ни обсуждений не встречал).
по итогу - включен hvci оно не работает, секурбут вроде только на 7 робит. но все равно крутотень конечно. лет 5 назад такое никто бы не выложил)

хотя может я что-то не так понял или напутал)


Ранг: 453.7 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 1 апреля 2019 12:10 New!
Цитата · Личное сообщение · #7

superakira пишет:
хотя может я что-то не так понял или напутал)


думаю, что вы все поняли правильно, но и сам могу ошибаться, посколько особенно не вникал.
Тема показалась интересной, вот и выложил ссылку с твердым намерением со временем все детально исследовать.
На каждой странице github'a есть раздел "Issues", где можно задавать вопросы авторам проэкта.
Конечно зависит от конкретного человека, но большинство охотно отвечают.
Так что не стесняйтесь, спрашивайте, авторы свой проэкт знают лучше, чем кто-либо другой.

Ранг: 73.7 (постоянный)
Статус: Участник

Создано: 13 мая 2019 00:15 New!
Цитата · Личное сообщение · #8

Возможно, пригодится...
--> https://github.com/quarkslab/dreamboot <--

Ранг: 7.1 (гость)
Статус: Участник

Создано: 23 мая 2019 12:55 New!
Цитата · Личное сообщение · #9

кстати допилили книжку
rootkits & bootkits

на амазоне уже обосрали =( черт даже обидно. как раз вроде по теме (хотя зачем древние штуки они описывали.. не ясно) и уефи бкиты там как раз заявлены были.


Ранг: 453.7 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 23 мая 2019 21:39 · Поправил: plutos New!
Цитата · Личное сообщение · #10

superakira пишет:
кстати допилили книжку


Да, об этом уже писали. (https://exelab.ru/f/index.php?action=vthread&forum=2&topic=2387&page=40)

plutos пишет:
Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats Александра Матросова наконец-то вышла в свет!


superakira пишет:
зачем древние штуки они описывали


Да потому, что книгу эту они начали лет 10 назад, если не раньше. Надо было либо с нуля переписывать, что бы обновить, либо уже издавать как есть.
А человек, написавший разгромную рецензию, прочел на момент ее написания всего 8 первых глав (как он сам признает!).
Книга и правда устарела, не успев родиться, но все же кое-что полезное можно извлечь. Тут ведь все зависит от уровня читателя.

Ранг: 271.5 (наставник)
Статус: Участник

Создано: 23 мая 2019 22:15 · Поправил: difexacaw New!
Цитата · Личное сообщение · #11

plutos

Прямо няшка, такое доброе лицо, вы только купите книгу --> Link <--

А если там перепечатка чужих работ то его ждёт неудача очень большая.


Ранг: 453.7 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 24 мая 2019 01:40 New!
Цитата · Личное сообщение · #12

difexacaw пишет:
вы только купите книгу


а зачем ее покупать, вон МАК уже выложил в разделе Ебуки.

Ранг: 120.0 (ветеран)
Статус: Участник

Создано: 24 мая 2019 07:20 New!
Цитата · Личное сообщение · #13

superakira пишет:
кстати допилили книжку
rootkits & bootkits

Это рожалось в таких муках и на какой-то момент стало не нужно даже аффтарам, которые знатно пропиарились в свое время тыря чужие наработки для своих статеек и выступлений, а потом долго-долго пиарились на этом гапс гавне, попутно скачя по разным АВ конторам. Отсюда и тот казус что большая часть посвящена "современным угрозам" из 32 битной венды и мбр эпохи. Потом это надо было как-то закончить и туда наспех воткнули главы про ефи (благо lojax подошел и появился хоть какой-то материал - "современные угрозы" же бггг). Расписывали CI и остановились угадай где? На windows 8. Потому что весь этот материал был написан в 2011-2013 году. Вот и получилась в итоге книжка про малварку нулевых, пересказ паблик инфы, ссылок на гитхабы(причем мы и так все их знаем включая EDK2) и демонстрация возможностей uefitool (надо отдать тут должное они хотя бы внесли лепту в ее развитие). Если выкинуть 3/4 этих мемуаров и оставить относительно свежую часть (страниц 50 со скриншотами и таблицами), то книжка сойдет для общего образования. Ни академических сэмплов собственной разработки(!), ни актуальной инфы по десяткам тут нет (ладно вру есть целая 1 страница слизанная с доков мс). Книжка имхо писалась под чье-то портфолио не более. Да бгг эта тема поинтереснее будет.

| Сообщение посчитали полезным: plutos



Ранг: 453.7 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 26 мая 2019 01:37 New!
Цитата · Личное сообщение · #14

Alchemistry пишет:
Это рожалось в таких муках и на какой-то момент стало не нужно даже аффтарам, которые знатно пропиарились в свое время


Ну, видимо в это и была идея: создать шум вокруг своего имени, а уж как именно - вопрос второстепенный. Дальше будут говорить и писать "Автор такой-то и такой-то книги", а какая там книга, мало кто знает.
А звучит очень пиздато...
Я лично рад одному: что не потратил своих кровных на эти 50 страниц.

Ранг: 0.3 (гость)
Статус: Участник

Создано: 26 мая 2019 03:56 New!
Цитата · Личное сообщение · #15

ХорОШИЕ люди разработали свободные альтернативы bios:
Coreboot/Libreboot

Ранг: 73.7 (постоянный)
Статус: Участник

Создано: 26 мая 2019 14:06 · Поправил: Dart Raiden New!
Цитата · Личное сообщение · #16

Исходники TianoCore так-то тоже свободные. Правда, подавляющему большинству пользователей толку от coreboot - ноль, потому что на железе этого большинства пользователей оно не работает. А libreboot - это кастрированный coreboot, где по идеологическим причинам полностью исключена возможность работы на большей части современного железа (Intel, начиная с Nehalem, и AMD, начиная с Ryzen).

Ну и до кучи... говорить, что coreboot - альтернатива BIOS, это ошибка уровня "голое колесо это альтернатива автомобилю". Сoreboot грузит payload (с реализацией BIOS или UEFI, которая, в свою очередь, уже может загрузить любую ОС (впрочем, в качестве payload может выступать ядро линукс, но одним линуксом сыт не будешь)).

Ранг: 0.3 (гость)
Статус: Участник

Создано: 26 мая 2019 16:38 New!
Цитата · Личное сообщение · #17

BIOS/UEFI ,позволяют злоумышленникам загрузить и выполнить произвольный код,спровоцировать отказ в работе устройства, также извлекать информацию,обрабатываемую процессором/имеет доступ к содержимому памяти,практически ко всем данным на компьютере и может исполнять сторонний код,вряд ли обнаружат стандартные защитные решения).
Шифрони Coreboot/Libreboot алго SERPENT вход по паролю вход по ключу).
Клерк посоветуй книг по html?


Ранг: 1003.5 (!!!!)
Статус: Участник

Создано: 29 мая 2019 11:12 · Поправил: reversecode New!
Цитата · Личное сообщение · #18

Alchemistry пишет:
Это рожалось в таких муках

Alchemistry пишет:
Вот и получилась в итоге книжка про малварку нулевых, пересказ паблик инфы


ну это старикам она мало интересна
а молодые вон подлизывают по интернету как самая крутая книга по мелваре
и очень рекомендуют покупать

Ранг: -5.3 (нарушитель)
Статус: Участник

Создано: 29 мая 2019 14:11 New!
Цитата · Личное сообщение · #19

По-моему, самый главный критерий любой технической книги - донести до читателя что-то, что ему было непонятно и самое главное научить чему-то. Если это есть - книга хорошая, если этого нет - книга плохая.


P.S. А вдруг у книги есть тайное предназначение - выявлять стариков а сайтах профильной тематики.
Мне вот интересно какое мнение об этой книге будет у Boostyq?

Ранг: 73.7 (постоянный)
Статус: Участник

Создано: 31 мая 2019 19:58 · Поправил: Dart Raiden New!
Цитата · Личное сообщение · #20

Lobido пишет:
BIOS/UEFI ,позволяют злоумышленникам загрузить и выполнить произвольный код,спровоцировать отказ в работе устройства, также извлекать информацию,обрабатываемую процессором/имеет доступ к содержимому памяти,практически ко всем данным на компьютере и может исполнять сторонний код,вряд ли обнаружат стандартные защитные решения).


Любая ОС это также позволяет. И Libreboot это тоже позволяет. Ровно тем же способом, что и UEFI - через эксплуатацию уязвимостей, которые есть везде.

Ранг: 0.3 (гость)
Статус: Участник

Создано: 16 июня 2019 17:22 New!
Цитата · Личное сообщение · #21

Как правило,для прерывания int 13h в таблице хранится адрес кода bios,который использует имеющуюся информацию о жестких дисках для взаимодействия с контроллером.
Прерывание int 13h представляет целую категорию дисковых функций,входят функции записи на диск,чтения с диска,форматирования дорожек получения информации о диске,13h для чтения/записи адреса CHS/LBA int 13h.
(Геометрия и внутреннее устройство жесткого диска)


Ранг: 453.7 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 17 июня 2019 11:23 · Поправил: plutos New!
Цитата · Личное сообщение · #22

Lobido пишет:
Прерывание int 13h представляет целую категорию дисковых функций


и это тоже давным-давно известно, кому надо, тот давно это знает.

Если есть ссылки на интересные книги, статьи, блоги, ресурсы, то для них есть спец --> тема<--.
Туда их и выкладывай.
<< . 1 . 2 . 3 .
 eXeL@B —› Крэки, обсуждения —› UEFI руткиты

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS