id: Гость   вход   регистрация
текущее время 13:39 27/06/2017
Автор темы: grandalexey, тема открыта 13/11/2016 19:03 Печать
Категории: инфобезопасность, хард
создать
просмотр
ссылки

Троян в BIOS


Система: LiveUSB c debian и загрузчиком.
Других ПЗУ в системе нет – кроме флэш накопителя.


Угроза: BIOS содержит троян.


Вопросы:
Что вообще может делать троян засевший в BIOS..
Только записывать вредоностный код в MBR?
Может влиять только на загрузчик и работать только на стадии загрузки?


Если Флешка аппаратно в режиме ONLY READ, то троян вреда нанести не сможет, так как не сможет прописать дополнительный код в MBR?
Правильно ли я понимаю или возможны другие варианты?


 
Комментарии
— Гость_ (14/11/2016 09:14)   профиль/связь   <#>
комментариев: 411   документов: 5   редакций: 9

Практически всё.


Не только.


На эту тему был отдельный топик, ссылки в нём, и 14 страниц комментариев к нему.


Если эта аппаратная защита никак не отключается софтварным образом, то да.
— гыук (14/11/2016 14:45)   профиль/связь   <#>
комментариев: 250   документов: 0   редакций: 0

Переустановить БИОС пара минут.
— sentaus (14/11/2016 15:34)   профиль/связь   <#>
комментариев: 1058   документов: 16   редакций: 32
Переустановить БИОС пара минут.

...и 200 лет на собственно поиск биоса без трояна ;)
— grandalexey (14/11/2016 16:41, исправлен 14/11/2016 16:42)   профиль/связь   <#>
комментариев: 33   документов: 9   редакций: 7
Переустановить БИОС пара минут.

Я вообще думал, что BIOS можно перепрошить – что требует подключение к нему программатора..
Как его переустановить?


...и 200 лет на собственно поиск биоса без трояна ;)

OpenSource BIOS нужен ;)
Возможно что-то такое и есть

— Гость_ (14/11/2016 18:54, исправлен 14/11/2016 18:55)   профиль/связь   <#>
комментариев: 411   документов: 5   редакций: 9

NB: примерно половина советов гыук ошибочна (он не знает тему, но пытается что-то вставить) или бессмысленна (невозможно понять, что он хотел сказать). Отправляя все его сообщения в /dev/null, вы сохраните своё время. Поправлять его пришлось бы на каждом сообщении, это бессмысленный труд.

— grandalexey (14/11/2016 19:15)   профиль/связь   <#>
комментариев: 33   документов: 9   редакций: 7
ошибочна (он не знает тему, но пытается что-то вставить) или бессмысленна

Понял
— grandalexey (14/11/2016 20:01, исправлен 14/11/2016 20:03)   профиль/связь   <#>
комментариев: 33   документов: 9   редакций: 7
На эту тему был отдельный топик, ссылки в нём, и 14 страниц комментариев к нему.

Благодарю.
Хорошая ссылка.


Почитал, пока только раздел про UEFI


> Что вообще может делать троян засевший в BIOS
Практически всё.

Во Истину Так.


Я еще подумывал, еще когда создавал этот топик.
Что троянец может сидеть даже не в основном BIOS, а в так называемом VBIOS, биос видюхи.
Из этого VBIOS – грузятся штатные драйвера, которые будут работать, пока не загрузятся драйвера, установленные ОС.
Если эти драйвера содержат троян, способный записать в память код, который будет запущен ОС после загрузки
То не поможет даже постоянная перепрошивка основного биоса..


Кроме всего прочего:
"На современных видеоадаптерах VBIOS прошит в чип перезаписываемой памяти, поэтому допускается редактирование вышеописанных параметров с помощью специальных утилит и последующая прошивка уже отредактированного BIOS взамен стандартного"


Таким образом такой bootkit может распростанятся и по сети.

— гыук (14/11/2016 20:27, исправлен 14/11/2016 20:34)   профиль/связь   <#>
комментариев: 250   документов: 0   редакций: 0

О, кто ведет статистику. Шпионите?
По поводу понимания, просто вам знаний не хватает. Сознайтесь.


https://www.pgpru.com/comment95694 :


Очень содержательный ответ. Что хотели то сказать?


"
– Что вы как свидетель можете показать по этому делу?
– Как свидетель, я могу показать все... " © "Не может быть!" 1975 г.



Выпуск CoreBoot 4.5



Все в троянах?

— Гость_ (14/11/2016 21:11)   профиль/связь   <#>
комментариев: 411   документов: 5   редакций: 9

На первых страницах ещё дискуссия по поводу UEFI была.


Не только. Проблема глубже, и ей подвержена вся фирмварь, потому что никакой её верификации в системе нет – какой там есть код на периферийных устройствах, такой и будет загружен:

There’s also no easy way for users to manually examine the firmware themselves to determine if it’s been altered. And because firmware remains untouched if the operating system is wiped and re-installed, malware infecting the firmware can maintain a persistent hold on a system throughout attempts to disinfect the computer. If a victim, thinking his or her computer is infected, wipes the computer’s operating system and reinstalls it to eliminate malicious code, the malicious firmware code will remain intact.


/comment73321:
Хороший пример — coreboot. Его пилят-пилят уже сколько лет, а работает оно только на паре десятков давно устаревших платформ, да и то половина отваливается. И это всё при том, что саму прошивочную часть они даже не трогали (средни производителей BIOS'ов каждый шьет, как может и чем может), так что универсальный флешер — это просто нереально.

/comment73287:
coreboot – это жалкая пародия на открытость, т.к. наполовину состоит из закрытых блобов. Впрочем, мои ковыряния BIOS говорят что иное в принципе невозможно, никакое сообщество не сможет написать например MemoryInit стадию, ибо там находится поразившее меня количество hardware-specific костылей и подпорок, работающих с недокументированными особенностями железа. Открытых BIOS не будет, если только кто-то из крупных игроков не решит открыть исходники, а это врядли. Сторонним программистам, не работающим в тесной связке с производителями железа, никогда в жизни это не написать, имеющейся документации совершенно недостаточно.

В /poisk можно ввести coreboot и почитать. Он лучше, чем ничего, пожалуй, но все проблемы не снимает.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3