iPon Hírek

UEFI rootkit is volt a Hacking Team repertoárjában

Dátum | 2015. 07. 17.
Szerző | J.o.k.e.r
Csoport | SZOFTVER

A Hacking Team szerverei ellen indított hatékony támadás jóvoltából mintegy 400 GB-nyi adatra tettek szert a támadók, ez az adatmennyiség pedig sokkal több érdekességet rejt, mint azt korábban bárki is gondolhatta volna. A nem éppen etikus és tisztességes szoftvereket gyártó cég portékáit kormányzati szervek és különböző társaságok vették igénybe az elmúlt hónapok, illetve évek során, és úgy tűnik, meglehetősen komoly fegyverarzenálból választhatták ki a számukra legmegfelelőbb szoftvert.
A kiszivárgó adatoknak köszönhetően már egy kritikus Java biztonsági résre, valamint három darab Adobe Flash biztonsági résre is fény derült, ám ahogy azt sejteni lehetett, ez bizony még csak a jéghegy csúcsa. Az adatok további elemzése után most egy rettentően veszélyes szoftverre derült fény: egy UEFI rootkitre. Ez a szoftver az adott alaplap UEFI alapú firmware-ébe ágyazódik, legfőbb feladata pedig az, hogy folyamatosan nyitva tartson egy hátsó ajtót az áldozat számítógépén – még akkor is, ha a célszemély végső elkeseredésében a Windows új adattárolóra történő újratelepítése mellett dönt. A kártékony kód az Insyde BIOS-t célozta, ami a noteszgépek körében nagy népszerűségnek örvend, de a Trend Micro szakemberei szerint AMI BIOS-ra is átültethető. A Trend Micro szakemberei szerint az UEFI rootkit segítségével folyamatosan jelen lehet az adott rendszeren a Hacking Team Remote Control System-éhez, azaz a csoport távoli irányítórendszeréhez tartozó malware. A rootkit minden egyes Windows indításnál ellenőrzi a malware jelenlétét, majd ha azt állapítja meg, hogy a felhasználó valahogy sikeresen megszabadult a kártékony szoftvertől, gyorsan újratelepíti azt, még a Windows elindulása előtt.
A kliens fájljai
Mivel a fertőzés fő forrása az UEFI firmware, így semmi értelme nincs az adattároló formázásának, lecserélésének és a Windows újratelepítésének se, hisz ezekkel a lépésekkel nem a fertőzés okát szüntetjük meg, csak az aktuális tünetet. A Trend Micro szerint az UEFI-t támadó rootkit telepítéséhez fizikailag is hozzá kell férnie a támadónak az adott rendszerhez, igaz, a szakemberek nem zárják ki a távolról történő telepítés lehetőségét sem. Távoli támadás esetén könnyedén bújhat álca mögé a hacker – akár a Microsofttól érkező biztonsági frissítésként is tálalhatja a kártékony kódot, amivel sokakat félrevezethet. A Trend Micro szakemberei a hathatós védelem érdekében azt tanácsolják, engedélyezzük az UEFI SecureFlash funkciót, valamint mindig frissítsük az UEFI firmware-t, ha ahhoz biztonsági frissítés érkezik, de ezzel együtt az UEFI firmware jelszavas védelmével is nehezebbé tehető a támadó dolga. Arról nem szól a fáma, hogy egy egyszerű UEFI firmware frissítéssel megszabadulhatunk-e a kártékony kódtól – alighanem erre az eshetőségre is volt ellenszer a Hacking Team tarsolyában.
Új hozzászólás írásához előbb jelentkezz be!

Eddigi hozzászólások

23. trilage00
2015.07.17. 18:23
Mintha egy akciófilmben beszélne egy C.I.A-s ügynök aki bent járt a McDonalds konyhájában
 
Válasz írásához előbb jelentkezz be!
22. mullerdavi...
2015.07.17. 18:28
Egyáltalán tisztában vagy mi az az UEFI? (Mivel emlegeted az NTFS listázást gondolom elolvastad a külföldi cikeket. Nem tartana sokba linuxos variánst gyártani ugyan ezzel a módszerrel) Különben az utóbbi időben a Windows biztonságtechnikai szempontból jobban áll mint a linux variánsok. Rengeteg (csúnya) sebezhetőséget találtak bennük. És mielőtt nekem esik bárki, mindkettőt használom, éppen melyik jobb a feladatra.
 
Válasz írásához előbb jelentkezz be!
21. Pee89
2015.07.17. 18:28
És mégis mi köze az egészhez a Win10-nek?? Hmmm??
 
Válasz írásához előbb jelentkezz be!
20. mullerdavi...
2015.07.17. 18:37
Különben kíváncsi lennék mit kezd a Bitlockerrel.
 
Válasz írásához előbb jelentkezz be!
19. mullerdavi...
2015.07.17. 18:45
Ez az utolsó off postom a vitában egy fanboy-jal. Igen láttam képzeld, van tapasztalatom headless arm alapú routertől elkezdve szervereken át desktop gépekig linuxal. Írtam saját drivert/kernel-modult, tisztában vagyok rengeteg exploittal amivel simán root jogot kapsz. Nem bonyolultak ha tudsz assemblyt. A root környezet ugyan úgy megvan a Windowsban, csak ott ugyan azt a funkcionalitást UACnek hívják. Semennyivel nincs egyik diszto se a win előtt, egyszerűen mások a prioritások. Az egész grafikus stack egy kalap sz*r linux alatt, de nem akarjuk arra használni. Egy windowst se akarsz egy routerre kötni, mert nem bírná el. De ha nyitsz egy topicot a fórumban és belinkeled, nagyon szívesen vitázgatok veled ha képes vagy észérvekre hallgatni.
PS: A linuxba ugyan úgy beleírsz valahova és elindul egy bináris, innentől kezdve tökmindegy. De valószínűleg a teljes boot-chaint se ismered hogy hol lehet még mit futtatni.
PS2: A linux meg nem volt fényévekkel előbbre, emlékeim szerint mire némelyik distro UEFI támogatást kapott eltelt pár év. Ebben nem vagyok teljesen biztos.
 
Válasz írásához előbb jelentkezz be!
18. mullerdavi...
2015.07.17. 19:13
Csak lesz még egy off postom. Megkerestem a tavalyi összegzéseket:
http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-2014/
https://ipon.hu/hir/2014_legsebezhetobb_operacios_rendszere_az_os_x/32765
Még itt iponon is volt róluk szó... csak én nem a levegőbe beszélek pár fancy szót dobálva. A bitlockeres kérdésem még mindig áll, ha valaki tudja, vagy amíg nem lesz időm belenézni a tényleges rootkitbe. Illetve a linux UEFIről ha valaki talált infót az emlékeimen kívül az is jöhet.
 
Válasz írásához előbb jelentkezz be!
17. ChoSimba mulle...
2015.07.17. 19:20
Bitlocker szerintem nem számít. Még az sem szükséges esetleg, hogy a háttértárra írjon. Ha képes injektálni magát memóriába, akkor tök mindegy.
Márpedig ha a win/linux/stb. kernel módból hív bármilyen bios funkciót, akkor az eltéríthető és máris nyitott a rendszer, bitlocker ide vagy oda.
 
Válasz írásához előbb jelentkezz be!
16. mullerdavi... ChoSi...
2015.07.17. 19:23
Persze persze, de nem lesz perzisztens a merevlemezen, csak az adott gépen fog futni. Legalábbis amíg nem lépsz be a windowsba és a bitlocker kulcsai nem lesznek a memóriában. De kíváncsi lennék hogy arra is fel volt-e készítve.
Nem arra vagyok kíváncsi hogy mit lehetne csinálni, hanem hogy mire volt ez a konkrét példány felkészítve. Legalább van más is aki tisztában van mennyi helyen el lehet téríteni a dolgokat.
Különben az is sokat számít, mennyi hely van ezeknek az exploitoknak. Régen a BIOSba alig lehetett kódot csempészni, nem volt sok a fizikai hely, de az UEFIk már jó nagyok.
 
Válasz írásához előbb jelentkezz be!
15. Kajafun
2015.07.17. 19:48
Vannak ezek a spam meg vírus irtó kankók amik irtanak a winből majd ujraindulás után a win előtt elkezdenek dolgozni. Ezekkel mi a szitu?
 
Válasz írásához előbb jelentkezz be!
14. mullerdavi... Kajaf...
2015.07.17. 19:59
Ahogy néztem ez a példány 3 részből áll: ntfs.mod, rkmod.mod, dropper.mod. Előbbi az ntfs írás/olvasásért felel, utóbbi meg ráhookol az OS indításra és "ledobja" magát a start menü automatikus indítás mappájába. Nem láttam egyenlőre semmi bitlocker specifikusat sem. Talán a vírusírtó ha hamarabb indul el (na itt bajban vagyok, nem tudom a pontos sorrendet, de illene előbb) mint a startmenüből ez a cucc, így annyi hogy minden induláskor leírtja, mert már ismeri, de a fwből csak bios frissítéssel szabadulsz meg tőle. Sajnos vannak olyan vírusok amik a vírusírtóba is beférkőznek, de ezt nem találtam olyan aggresszívnak.
 
Válasz írásához előbb jelentkezz be!
13. VikMorroHu... Kajaf...
2015.07.17. 20:47
Nem vagyok szakértő (bár azt tudom, hogy a kankó egy nemi betegség neve ), ezért csak tippelni tudom, hogy nem sokra mész egy normál vírusirtóval, mivel az az op rendszert (pl. Windows) tisztítja meg a fertőzéstől, az UEFI BIOS-t nem. Ahogy a cikkben is írják, a fertőzés a gép indításakor, még a Windows betöltése előtt történik, és képes érzékelni, hogy eltakarították-e a vírust a rendszerből - ilyenkor újra fertőz.
 
Válasz írásához előbb jelentkezz be!
12. Resike
2015.07.17. 21:44
Ülj le fiam egyes.
 
Válasz írásához előbb jelentkezz be!
11. eriol VikMo...
2015.07.17. 23:19
A szép a dologban, hogy nincs vírus, amit megtalálna a vírusölő. A legtöbb nagy, kereskedelmi forgalomba kapható monitorozó/naplózó program friss klienseire direkt nem jeleznek a vírusölők, mert ezeket elvileg okkal telepítik az adott gépekre teljesen legális keretek között. Sok ilyen cégnél van kliens windowsra, linuxra, osx -re is. A fent említett remote control system -nél is volt, sőt, ios -re és androidra is.
 
Válasz írásához előbb jelentkezz be!
10. eriol mulle...
2015.07.17. 23:30
Bitlocker (ezt a verziót) megfogja. Tudtommal addig tud ténykedni egy UEFI rootkit, amíg az UEFI át nem adja a boot -ot az OS -nek. Mivel az átadáskor még nincs nyitva a rendszer meghajtó, nem tudja felrakni a klienst a rendszer könyvtárakba (max a boot partícióra, ahonnan a bitlocker "kernelje" betölt, de azzal nem ér sokat). Amúgy ezért van a safeboot meg egy csomó secu feaure az UEFI -be, hogy ezeket megnehezítse (ha egyáltalán be van kapcsolva valahol). Persze ha validnak tűnő aláírást is tudsz hamisítani az fertőzött UEFI -re, az már más tészta...
 
Válasz írásához előbb jelentkezz be!
9. kiskoller
2015.07.18. 14:22
Aha.

Most jött el az idő, hogy bepróbálkozzam a coreboottal.
 
Válasz írásához előbb jelentkezz be!
8. CyberPunk6...
2015.07.18. 14:54
Miért lenne védelem, ha a windows "nem látja" (de amúgy látja, csak nem kezeli)?

Akkor maximum nem a windows szolgáltatásain keresztül írja és ennyi. Annak, hogy a windows alatt nem tudod használni csakis kizárólag jogi/üzleti okai vannak. A meghajtót látja, tudja kezelni, és onnantól írhatja is, ha akarja.
 
Válasz írásához előbb jelentkezz be!
7. kiskoller Cyber...
2015.07.18. 15:40
Mert nincs ext3/4 fájlrendszer támogatás windowson, így azt is bele kell rakni egy kártevőbe.
 
Válasz írásához előbb jelentkezz be!
6. CyberPunk6... kisko...
2015.07.18. 16:11
Értem, de ezt miért ne lehetne megtenni? ^^,
Pont ez volt a hozzászólásom lényege.
 
Válasz írásához előbb jelentkezz be!
5. szmt eriol
2015.07.18. 18:34
Lehet, hogy túl láma a kérdés, akkor bocs, de a TPM ilyenek ellen nem véd? Már ahol van ilyen...
Úgy tudom, az lenne a lényege, hogy az egész boot chain-t felügyeli hardver alapon pl. bitlockerrel, nem?
 
Válasz írásához előbb jelentkezz be!
4. mullerdavi... szmt
2015.07.18. 18:58
A BIOS/FW és az OS feladata lenne, hogy a TPMet megfelelően használva megőrizze az integritást, mindegyik a saját dolgait figyelve (tudtommal). A FWt kellett volna valahogy felkészíteni a detektálásra, de a teljes frissítéssel (akár) ez is kikerülhető. Gondolom azért segített a jelszó, mert akkor nem engedte a FW frissítést a régi.

 
Válasz írásához előbb jelentkezz be!
3. mullerdavi... kisko...
2015.07.18. 18:59
Megméztem ezt a coreboot-ot, elég érdekes. Ha lenne HWs flasherem játszanék is vele. Csak ismered, vagy van is vele közeli tapasztalatod?
 
Válasz írásához előbb jelentkezz be!
2. kiskoller Cyber...
2015.07.18. 21:29
Mert +1 fájlrendszer beépítése a Windowsba sokkal komplexebb feladat, mint Linuxon, és még ott sem megy on the fly. Ez nem megy csak simán egykét fájl átmásolásával.

Még az otthoni felhasználásra készült, tehát legkönnyebben használható ext3-4 olvasó progik (tehát a legegyszerűbbek) jelentős része saját belsős file szervert csinál amit a loop interfacen keresztül ér el.
 
Válasz írásához előbb jelentkezz be!
1. kiskoller mulle...
2015.07.18. 21:30
Pár éve került fel a radaromra, még nem próbáltam ki. Egyszer ki akartam, de akkor nem támogatta az alaplapomat, illetve tuningot sem támogatott. Azóta sok minden fejlődött, de még nem bátorkodtam felrakni.
 
Válasz írásához előbb jelentkezz be!