• XSS.stack #1 – первый литературный журнал от юзеров форума

Малварь в железках

Отслеживать
Deworned

Deworned

CD-диск
Забанен
Регистрация
03.01.2025
Сообщения
12
Реакции
3
Пожалуйста, обратите внимание, что пользователь заблокирован
Может ли какой-то хороший малварь залезть куда-то в материнки, иные железки? Какой шанс, что все говно удалится после переустановки ОС?
Много ли было таких случаев?
 
Были и есть всякие буткиты с компактным телом (иногда меньше 10 килобайт - почти произведение искусства) для bios и uefi *
www.binarydefense.com

Running Malware Below the OS - The State of UEFI Firmware Exploitation

In part one of this blog series, we will explain the boot process of modern UEFI machines, as well as some of its built-in protections, and we will…
www.binarydefense.com www.binarydefense.com
habr.com

ТаинÑÑÐ²ÐµÐ½Ð½Ð°Ñ Ð¸ÑÑоÑÐ¸Ñ badBIOS

УдивиÑелÑÐ½Ð°Ñ Ð¸ÑÑоÑÐ¸Ñ ÑазÑгÑалаÑÑ Ñ ÑкÑпеÑÑом по инÑоÑмаÑионной безопаÑноÑÑи ÐÑагоÑом Ð Ñи (Dragos Ruiu). Ðн ÑÑвеÑждаеÑ, ÑÑо еÑе 3 года назад ÐµÐ¼Ñ ÑдалоÑÑ Ð¾Ð±Ð½Ð°ÑÑжиÑÑ Ð²Ð¸ÑÑÑ, поÑажаÑÑий BIOS, ÑкÑÑÑно...
habr.com habr.com
www.welivesecurity.com

LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group

ESET researchers have discovered the first in-the-wild UEFI rootkit. Dubbed LoJax, the research team has shown that the Sednit operators used different components of the LoJax malware to target a few government organizations in the Balkans as well as in Central and Eastern Europe.
www.welivesecurity.com

Все, что вам следует знать о Thunderstrike — бутките для Mac

Разработан опасный буткит, способный устанавливать полный контроль над компьютерами Apple. В этой статье мы собрали все факты о Thunderstrike, которые вам следует знать.
www.kaspersky.ru www.kaspersky.ru

Equation Group модифицировал прошивки hdd

Wayback Machine

web.archive.org

MoonBounce записывался в spi флеш память на материнке
securelist.com

MoonBounce: the dark side of UEFI firmware

At the end of 2021, we inspected UEFI firmware that was tampered with to embed a malicious code we dub MoonBounce. In this report we describe how the MoonBounce implant works and how it is connected to APT41.
securelist.com securelist.com

другие не помню
 
Последнее редактирование:
uzu сказал(а):
Интересно, есть ли для такого MaaS, было бы неплохо жирные таргеты заражать и отрабатывать по кругу, пока не сменят комп
Аверы\едры пизды дадут поидее, если ты вообще это в юзермоде сможешь сделать
 
malware_cryptor сказал(а):
Аверы\едры пизды дадут поидее, если ты вообще это в юзермоде сможешь сделать
У UEFI буткитов как правило ядерные дропперы, принцип установки сильно отличается от мбр буткитов из 2010 года. Отключить EDR будучи загруженным в ядро не сложно, тут скорее вопрос в том, как попасть в ядро. Искать уязвимые дрова и грузиться через них долго и муторно.
 
xxxxxxxx сказал(а):
тут скорее вопрос в том, как попасть в ядро.
За ответ на такой вопрос + код тут готовы заплатить не одну сотку тысяч баксов
 
Уязвимость обхода UEFI Secure Boot (CVE-2024-7344), связанная с подписанным Microsoft приложением, может использоваться для установки буткитов, несмотря на включенную защиту Secure Boot. Уязвимое UEFI-приложение применяется в нескольких сторонних инструментах для восстановления системы.

Проблема связана с тем, что приложение использует кастомный PE-загрузчик, позволяющий загружать любые UEFI-бинарники, даже если те не подписаны. Обычно UEFI-приложения полагаются на LoadImage и StartImage, которые проверяют бинарники через trust database (db) и revocation database (dbx). Однако уязвимое приложение этого не делает.

В этом контексте reloader.efi «вручную» расшифровывает и загружает в память бинарники из cloak.dat, где содержится зашифрованный XOR PE-образ. В результате злоумышленник может подменить стандартный загрузчик ОС в EFI-разделе на уязвимый reloader.efi и подложить вредоносный cloak.dat. При загрузке системы такой кастомный загрузчик расшифрует и выполнит вредоносный бинарник без проверки Secure Boot.

Сообщается, что эта уязвимость затрагивает UEFI-приложения, используемые для восстановления системы, обслуживания дисков и резервного копирования. Как пишут аналитики компании ESET, уязвимы следующие продукты:
  • Howyar SysReturn (до версии 10.2.023_20240919);
  • Greenware GreenGuard (до версии 10.2.023-20240927);
  • Radix SmartRecovery (до версии 11.2.023-20240927);
  • Sanfong EZ-back System (до версии 10.3.024-20241127);
  • WASAY eRecoveryRX (до версии 8.4.022-20241127);
  • CES NeoImpact (до версии 10.1.024-20241127);
  • SignalComputer HDD King (до версии 10.3.021-20241127).
При этом подчеркивается, что даже если эти программы не установлены на целевой машине, злоумышленники все равно могут эксплуатировать CVE-2024-7344, отдельно развернув уязвимый reloader.efi.

https://xakep.ru/2025/01/17/cve-2024-7344/ (там же видео)
 
xxxxxxxx сказал(а):
У UEFI буткитов как правило ядерные дропперы, принцип установки сильно отличается от мбр буткитов из 2010 года. Отключить EDR будучи загруженным в ядро не сложно, тут скорее вопрос в том, как попасть в ядро. Искать уязвимые дрова и грузиться через них долго и муторно.
По секрету - можно добраться до маунта ESP-раздела с админскими правами :) А вопрос насколько тихо это получится сделать - весьма хороший.
В случае, если дропаемся в ESP - вся логика сводится либо к замене виндового бутменеджера (и позже к самостоятельной загрузке онного), либо к его инфекту (добавление секции, замена EP (вся спека EFI работает на Portable Executable, за исключением PEI и SEC, там "ужатые PE" - TE)). Инфект, например, когда-то проворачивал ESPector (или как-то так назывался).
Ядерные дропперы имеет смысл делать, если у тебя есть уязвимый SMI хендлер (не особо важно какой, SW, Child, GP, etc. - работать может со всеми (ну кроме SX разве что)) и он либо имеет возможность работать с NANDом (спека реализует протокол для работы с SPI), либо ты можешь построить ROP цепочку. Но в таком случае, ИМХО, смысла делать чисто DXE драйвер для перехвата какой-либо ядерной функи для дропа пейлоуда - не особо имеет смысл, если ты можешь записать в образ свой SMM драйвер, которому даже из юзермода можешь посылать команды :) Хинт: есть некоторые сисколлы, которые стучатся в HAL, HAL в свою очередь постучится в одну ядерную структуру, где бутлоадером будет закешированы конвертированные указатели на рантаймовые сервисы, а рантаймовый сервис сгенерит SMI у процессора по пину 0xB2 (а может и не по нему, смотри на ACPI таблицы, там будет сказано).
Так что мы идём либо по +- адекватному пути с одним сплойтом для обхода Secure Boot, либо идём по хардкорному пути и ищем сплойт на R/W физ памяти для мапа ядерного дроппера, на R/W в SPI в SMM и для Secure Boot :) А ещё - эти вещи тоже можно детектить, причём иногда до банального просто..
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх