EvilCore
Существующие буткиты такие как Kon-boot и Stoned Vienna изменяющие ОС в процессе загрузки, перехватив прерывания BIOS отвечающие за чтение ядра ОС с диска. Ядро ОС изменяется по мере их загрузки в память после чего новое(плохое) ядро атакующего и работает.
EvilCore использует другой подход.
Во-первых, EvilCore отключает Symmetric Multi Processing ограничивающий число процессорных ядер в ОС. В то время, как операционная система загружается на доступные процессоры, EvilCore изменяет параметры загрузки говоря операционной системе, что памяти доступно меньше, чем на самом деле.
Затем, EvilCore помещает свой код туда, где ОС считает что это конец физической памяти, где буткит может жить в спокойствии, без какого-либо страха что ОС изменит его или хотя бы увидит.
В итоге, EvilCore работает находясь в верхней части физической памяти на неиспользованных ядрах процессора.
После того как ОС загрузилась EvilCore все ещё имеет доступ к физической памяти.
Найдя двоичные образы\строки и заменив их, EvilCore может вставить новый код в kernel-/userspace приложения.
Это дает атакующему огромную гибкость.
Буткит имеет полный доступ ко всем пользователям и пространству памяти ядра.
С буткитом можно взаимодействовать(в памяти) используя Windows приложения.
Буткит работает именно в нулевом кольце и он невидим для операционной системы!
В демонстрационном видео авторы EvilCore, Wolfgang Ettlinger и Stefan Vienbock, продемонстрировали насколько силен их концепт.
Показывают, как c помощью EvilCore они могут перехватить пароль от TrueCrypt.
EvilCore как и Kon-boot, позволяет обойти аутификацию пользователей.
Более того, позволяет обойти Kernel Patch Protection(KPP, PatchGuard) и отключить защиту Code Integrity (CI) на Win7.
Более подробно о EvilCore в презентации.
Источник конференция NinjaCon.
Существующие буткиты такие как Kon-boot и Stoned Vienna изменяющие ОС в процессе загрузки, перехватив прерывания BIOS отвечающие за чтение ядра ОС с диска. Ядро ОС изменяется по мере их загрузки в память после чего новое(плохое) ядро атакующего и работает.
EvilCore использует другой подход.
Во-первых, EvilCore отключает Symmetric Multi Processing ограничивающий число процессорных ядер в ОС. В то время, как операционная система загружается на доступные процессоры, EvilCore изменяет параметры загрузки говоря операционной системе, что памяти доступно меньше, чем на самом деле.
Затем, EvilCore помещает свой код туда, где ОС считает что это конец физической памяти, где буткит может жить в спокойствии, без какого-либо страха что ОС изменит его или хотя бы увидит.
В итоге, EvilCore работает находясь в верхней части физической памяти на неиспользованных ядрах процессора.
После того как ОС загрузилась EvilCore все ещё имеет доступ к физической памяти.
Найдя двоичные образы\строки и заменив их, EvilCore может вставить новый код в kernel-/userspace приложения.
Это дает атакующему огромную гибкость.
Буткит имеет полный доступ ко всем пользователям и пространству памяти ядра.
С буткитом можно взаимодействовать(в памяти) используя Windows приложения.
Буткит работает именно в нулевом кольце и он невидим для операционной системы!
В демонстрационном видео авторы EvilCore, Wolfgang Ettlinger и Stefan Vienbock, продемонстрировали насколько силен их концепт.
Показывают, как c помощью EvilCore они могут перехватить пароль от TrueCrypt.
EvilCore как и Kon-boot, позволяет обойти аутификацию пользователей.
Более того, позволяет обойти Kernel Patch Protection(KPP, PatchGuard) и отключить защиту Code Integrity (CI) на Win7.
Более подробно о EvilCore в презентации.
Источник конференция NinjaCon.
