Собираем в этой теме инфу по UEFI руткитам и трюкам.

Начало серии постов ntldr о руткитах:
--> Link <--

LoJax - руткит

Статья на русском:
- LoJax: первый известный UEFI руткит, используемый во вредоносной кампании

Документ на английском:
- ESET-LoJax.pdf

-----
EnJoy!

| Сообщение посчитали полезным: yashechka, WildGoblin, mak

Тема нужная и интересная.
На эту тему Александр Матросов книгу писал в сооавторстве с двумя русскими коллегами ("-->Rootkits and Bootkits<--"), но вот уже пятый год закончить не могут. Обещают в январе следующего года, но этих обещаний было множество, так что кто его знает...

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Да чего там собирать, бери и пиши свой, если есть куда применить...
Дело не сложное.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

plutos пишет:
Тема нужная и интересная.
На эту тему Александр Матросов книгу писал в сооавторстве с двумя русскими коллегами ("-->Rootkits and Bootkits<--"), но вот уже пятый год закончить не могут. Обещают в январе следующего года, но этих обещаний было множество, так что кто его знает...
Так осталось всего пару глав написать.
То же жду эту книгу.

Добавлено спустя 1 минуту
Jupiter пишет:
Собираем в этой теме инфу по UEFI руткитам.
Всегда очень нравились отчет ESETa

| Сообщение посчитали полезным:

ntldr пишет:
Дело не сложное
Сказал автор DiskCryptor.


-----
EnJoy!

| Сообщение посчитали полезным:

Когда впервые прочитал новость, захотел скачать этот оригинальный мод софт, а он только по подписке, триал есть, но там требуется кредитка или звонок в сервис службу, кто-то встречал прямые ссылки на софт?
Линк на сайт - --> Link <--

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Jupiter пишет:
ntldr пишет:
Дело не сложное
Сказал автор DiskCryptor.
а мне он всегда нравился)
Если он умница... это невозможно обнулить)

| Сообщение посчитали полезным:

BlackCode
Так прикол в том, что ntldr обладает такими квалификацией и знаниями, что для него фраза «дело не сложное» справедлива.

-----
EnJoy!

| Сообщение посчитали полезным:

Проблема 1. Те кто пишут такие штуки работают, как правило, с железом. Сюда относится умение снять чип с материнки и кинуть в каретку хотя бы (научиться этому можно за неделю - не самое сложное, что может быть в пайке). А титаны этого дела сами делают железо для DMA атак (и с этим сейчас тоже все плохо, т.к. после волны атак пилят сейчас очень хорошие защиты от DMA через IOMMU).
Проблема 2. Большая часть людей занимающаяся этой проблемой работает в Apple, Google, Intel, Cyclane, ESET. А дальше чистый NDA. Ничего нельзя рассказывать, и даже опенсорсить. Сотрудники этих контор тайно делают комиты (не со своих учеток, понятно) в https://github.com/LongSoft/UEFITool, например. Но пруфов не будет. Остальные кто занимаются этой темой, продают свои наработки в Black 0day market. Их называть тоже не буду, кто надо тот знает этих людей пофамильно.

Все что ты хочешь знать, или очень дорого, или очень плохо и ты сам сможешь покопать, если захочешь (в плане есть вендоры которые не смогли даже Secure Boot без багов сделать на уровне UEFI, например, с такой проблемой столкнулись в CloudFlare). А теперь вопрос - ты правда думаешь, что кто-то сюда что-то полезное запостит? Ну ntldr может, ну еще пару человек с форума. Но с чего бы? Самое печальное, что в РФ спецов на "белой" (некоммерческие и гиковские ресерчи не имеют цвета) стороне в этой области нет (сейчас набегут из PT и DSec и будут доказывать обратное, но мы проигнорируем). Про военку не знаю, т.к. про военку знать все невозможно, она слишком не детерминирована - кучу структур, каждая занята своими приколами. Чем они там заняты, они особо никому не отчитываются и на конфы как Матросов или Родионов не ходят. Хотя когда у военки все плохо с организацией ресерчей, они тупо идут на все тот же Black 0day market и берут что им надо там.

P.S. Сразу открещусь. Мой уровень это bootrom, uBoot, iBoot и выше. Интерес исключительно академический, с vx не дружу. Винда не интересна вообще.
P.P.S. Попкорн все же прикуплю и за темой понаблюдаю.

| Сообщение посчитали полезным: plutos

Katana пишет:
Ничего нельзя рассказывать, и даже опенсорсить.
Ну круто завернул! А EDK проект, на базе которого все последние UEFI разработки, он не опенсорс?
Интеловский приват?
Открою Вам большой "секрет": большая часть модулей всего нынешнего UEFI ПО (по крайней мере базовая их часть) разработана спецами Интел и АMI. И да они не все (или не полностью) присутствуют в EDK.

Katana пишет:
Сотрудники этих контор тайно делают комиты (не со своих учеток, понятно) в https://github.com/LongSoft/UEFITool, например.

Откуда такой бред?

Шлей разрабатывал UEFITool ещё тогда, когда был не под NDA. После того, как "подсел" под NDA, разработку прекратил (в том числе и из-за NDA).

Katana пишет:
Самое печальное, что в РФ спецов на "белой" (некоммерческие и гиковские ресерчи не имеют цвета) стороне в этой области нет
Ну коль Вам они не известны, так не надо делать таких "громких" высказываний!!!
Чушь это абсолютная.
PT и DSec действительно не причем, но не только на них весь свет держится!
Хотя там хватает толковых ребят и не все они пиарятся напропалую...

Katana пишет:
есть вендоры которые не смогли даже Secure Boot без багов сделать на уровне UEFI

Ну да, проблем и багов в этой области хватает, как, впрочем, и в других разделах ПО.
Судя по Вашим высказываниям, могут подумать, что Вы спец в этой области, а проблемы выеденного яйца не стоят: ну типа "Hello, world" нарисовать.
Да если б Вы поразбирались хоть в паре - тройке UEFI модулей, их взаимосвязи, пожалуй, не несли такую чушь!!!
Там много кода, много процессов, много вариантов и далеко не тривиально, как может показаться дилетантам.

И не надо в одну кучу валить Матросова и Родионова. Абсолютно разные по характеру и по характеру работ люди. И если у них и был совместный проект, то это абсолютно ничего не означает!.
То, что у Матросова в основном на первом месте пиар, включая его так называемую "книгу", это ежу понятно.

Katana пишет:
А теперь вопрос - ты правда думаешь, что кто-то сюда что-то полезное запостит?
А что может быть полезное?

| Сообщение посчитали полезным:

В споре рождается истЕна. Смотрел на книгу мотросова, но судя по тому что она пишется хз сколько лет, я думаю это уже больше мем (да там почти все написано уже, но оно уже чето не сильно актуально))
Кто в теме, продолжайте! Очень интересно послушать причастных. По мне так слишком затратная история с непонятным выхлопом, но это взгляд со стороны...

| Сообщение посчитали полезным:

DrVB_5_6 пишет:
Чушь это абсолютная.
С большим удовольствием готов к объективным аргументам. Ваш пост наполнен выплескиванием яда из со всех щелей. Типичный хейтер, мы с вами встречались в предыдущей теме, вы тогда тоже вспылили. Выпейте кефира уже наконец. Матросов плохой, Родионов хороший. Книги зло.

DrVB_5_6 пишет:
Шлей разрабатывал UEFITool ещё тогда, когда был не под NDA.
И до, и после. Он отдает правки другим людям, они делают комиты. Но вам то откуда знать? Продолжайте изучать EDK, откроете для себя много интересного, обещаю.

Итак объективно, жду ссылок на статьи русскоязычных авторов, живущих постоянно в РФ (больше полугода в течение года хотя бы) касательно UEFI уязвимостей, или хотя бы CVE касательно данной области. Как вы правильно сказали, это очень большая область, а тем легче найти человека, который бы ей занимался, логично? А если человек написал сплойт, и не отправил его вендору и нет CVE, присвоенного ему, то он НЕ занимается этим на "белой" стороне. Хотя бы с терминами мы определились? Так вот, таких CVE нет (или ничтожно малое кол-во по сравнению с тем кол-вом CVE, который выдал даже неприятный вам Матросов). По крайней мере из Kaspersky Lab, которую я даже не упомянул, но PT и DSec хотя бы пытаются такой материал делать. Он не соответствует мировому уровню, больше пиара, чем технической работы, но все же. Кстати чем конкретно плох пиар? Вы дважды подчеркнули, что другие пиарятся и это как будто плохо. Ну так устроен бизнес, тебя знают - тебя предлагают работу. Тех кого не знают, никуда не зовут. Сам приведу ссылку по DSec:

CVE-2017-5689 : https://habr.com/post/328232/

Кто не в курсе - Embedi = DSec.

Кстати, я нигде ни в коем случае не заявлял себя экспертом данной области. Но я работал с действительно крутыми экспертами, я специально подчеркнул своим предыдущим постом, что это не совсем моя область.

| Сообщение посчитали полезным:

не хочу вмешиваться в битву титанов, но если можно, не могли бы вы выложить список толковых ссылок на статьи/книги для человека, который совсем не в теме, но которому интересно было бы в нее плавно войти.
Желательно от простого к сложному.
Заранее спасибо всем, кто откликниться!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos

Там у железок свои протоколы, к которым нет доступа ни на каком уровне привилегий, а если есть бэкдор, то его заюзать невозможно из за защиты. Так что если вам железки не интересны, то эта тема то же не будет интересной. Про UEFI топики поднимаются чисто ради пиара конкретных людей - кто то заимел кучу железа.

-----
vx

| Сообщение посчитали полезным: Katana

Katana пишет:
Он отдает правки другим людям, они делают комиты. Но вам то откуда знать?
В отличие от Вас, приходилось с ним общаться по разным вопросам. В том числе и по поводу правок, и даже после того, как он отъехал в Купертино. Ну не надо наговаривать на людей, тем более нести всякую хрень про них.

Katana пишет:
Кстати, я нигде ни в коем случае не заявлял себя экспертом данной области.
. . .
Продолжайте изучать EDK, откроете для себя много интересного, обещаю.

Если не эксперт, то зачем же советы-то давать, тем более дурацкие?
Когда мне надо, лезу и в EDK, смотрю то, что меня интересует.
Я не разработчик UEFI, так что EDK нужен в качестве справочника (по большей части) и я его не "изучаю".
Хотя на компе развёрнуты все релизы...

Katana пишет:
Но я работал с действительно крутыми экспертами
И куда ж они делись? Все мамонты вымерли? Или за бугор улетели?
И если были таковые в природе, похоже, что Вам ... (убрал)

Katana пишет:
Кстати чем конкретно плох пиар?
Да ничем. Плохо когда спецы работают только на пиар. Если он становится основной целью, результатов ждать не приходится. Плохо, когда в каждой дырке - затычка!
Кстати, подготовка толковой презентации и доклада - то ещё занятие, попотеть надо основательно, чтоб просто сваять. Я уж вообще не вспоминаю, что результаты какие-никакие надо иметь!...

Katana пишет:
Матросов плохой, Родионов хороший. Книги зло.
Вот этого я никогда не утверждал. Не надо передёргивать. Лично я не собирался оценивать работы ни того ни другого. И, тем более, неприязни к ним абсолютно не испытываю, тут Вы сильно заблуждаетесь.
Более того, вполне приятные и толковые ребята, приходилось общаться с ними.
(В отличие от Вас, пургу не гнали...)

plutos пишет:
не могли бы вы выложить список толковых ссылок на статьи/книги для человека, который совсем не в теме, но которому интересно было бы в нее плавно войти.
Тема обширна, надо уточнять, что конкретно интересует.
Всё, естественно, in English, исключения - статьи на Хабре.
Начните на Хабре со статей CodeRush. У него есть и серия про безопасность прошивок.

Тему надо понимать шире, чем стоит в названии, иначе она исчерпалась первым постом.
Надо полагать. что народ волнует безопасность firmware?.

| Сообщение посчитали полезным: plutos

DrVB_5_6 пишет:
Всё, естественно, in English

This is not a problem, quite the opposite.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Половина постов так и сверкает "дайте-дайте на халяву" между строк. Дежавю.

| Сообщение посчитали полезным: mak

Полно же информации по UEFI в интернете, даже Биос слитый есть с сорсами, есть книги Beyond BIOS - Developing with the Unified Extensible Firmware Interface, Harnessing the Uefi Shell - Moving the Platform Beyond Dos (2017, Deg Press), есть Бутлодеры с сорсами, есть документация - http://www.uefi.org/specifications, есть EDK и EDKII
Поэтому ...
ntldr пишет:
Да чего там собирать, бери и пиши свой, если есть куда применить...
Дело не сложное.

difexacaw пишет:
Там у железок свои протоколы, к которым нет доступа ни на каком уровне привилегий, а если есть бэкдор, то его заюзать невозможно из за защиты. Так что если вам железки не интересны, то эта тема то же не будет интересной. Про UEFI топики поднимаются чисто ради пиара конкретных людей - кто то заимел кучу железа.
Это не помеха .. было бы желание, обыкновенная многоступенчатая атака с раскрытием данных, это уже стандарт сегодня. Хотя и подходит только для целевых атак.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak пишет:
есть книги Beyond BIOS - Developing with the Unified Extensible Firmware Interface
смешно, что именно эту книгу я искал год назад. Нашел и ... куда-то положил, а куда не помню. Найду еще раз и на сей раз уже не выпущу из рук пока не прочитаю.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

To combat this new threat, we developed a Rootkit Detection Framework for UEFI (“RDFU”) that incorporates a unified set of tools that address this problem across a wide spectrum of UEFI implementations. We will demonstrate a sample bootkit for Apple Mac OSX that was designed specifically for testing purposes. As a UEFI driver, it infects the Mac OSX kernel utilizing a UEFI “rootkit” technique. The entire infection process executes in memory (by the UEFI driver itself). Therefore, the bootkit does not need to install any OSX kernel extension modules. The bootkit demonstrates the following functionality:

Sniffing FileVault passwords (sniffing keys while booting)
Privilege escalation (to root)
Hiding PIDs, files and directories with selected pattern
Rootkit Detection Framework for UEFI was developed under DARPA CFT. Following this talk, we will publicly release the RDFU open source code along with whitepapers that outline a possible use case for this technology.

Сорсы док поверпоинт --> Link <--

plutos пишет:
смешно, что именно эту книгу я искал год назад. Нашел и ... куда-то положил, а куда не помню. Найду еще раз и на сей раз уже не выпущу из рук пока не прочитаю.

--> Link <--

Alchemistry пишет:
Половина постов так и сверкает "дайте-дайте на халяву" между строк. Дежавю.

Готовый рут никто не даст понятное дело, не стоит даже ожидать

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: WildGoblin

Про компьютерные вирусы есть актульные книги? Некоторые зарубежные посмотрел, но там вода одна

| Сообщение посчитали полезным:

LiMoN99
Нужна прям именно книга?
Сейчас в сети такое количество информации разной степени актуальности, что лучше, видимо, читать их и материалы различных конференций, а также разборы специалистами реальных сэмплов.

-----
EnJoy!

| Сообщение посчитали полезным:

LiMoN99 пишет:
Некоторые зарубежные посмотрел, но там вода одна
А вы сорцы ожидали в книге увидеть?

Книги на то и есть, чтобы общую теоретическую базу подать, хотя у Криса получалось увлекательно и без "воды". По сути вопрос звучит аналогично "Про компьютерные программы есть актульные книги?"
Интересует что-то конкретное, нужно уточнить, а в целом полностью согласен с предыдущим постом, - навалом увлекательного реверса разных сабжей в статьях и спец блогах, докладов с конференций безопасников, хакатонов всяких и прочей фигни. Чтобы не утруждать Инде лишний раз - изучайте православные интеловские маны, доки по ядру и апиай целевой системы, можно также поизучать сорцы псевдо-виксовых софтин (типа RAT) и топы актуальных уязвимостей на соответствующих ресурсах. В общем пока не определитесь с конкретикой читайте весь интернет

| Сообщение посчитали полезным:

Спасибо. Да сорцы я и сам скачаю с Zoo github

| Сообщение посчитали полезным:

Сделать UEFI руткит в целом - не сложно. Проще чем буткит для BIOS, если брать за основу тот-же принцип работы. Устанавливать его можно хоть в BIOS хоть на жесткий диск. Без разницы откуда, лишь бы модуль запустился на DXE стадии или после неё (на PEI стадию лезть незачем).

Выкладываю пример простейшего UEFI приложения которым можно подменять чужие загрузчики. Это из исходников ещё не зарелизенной версии DC. Модуль загружает загрузчик DС, а после оригинальный UEFI загрузчик (винды или пофиг чего...). Желающие могут вставить между загрузкой и запуском - патч PE модулей в памяти (они там как на ладони, не упакованные), пропатчить проверку bootmgr на целостность, затем пропатчить пропатчить winload.exe и после него уже ядро.

Сложно сделать чтобы это безглючно и везде работало....

Исходник собирается 2015й студией, там есть проект и все необходимые файлы.

0379_13.11.2018_EXELAB.rU.tgz - UEFI_hook.7z



VOLKOFF пишет:
изучайте православные интеловские маны
Одобряю, там есть много интересного. Документация серьёзная, но не полная. Например по мануалу на северный мост чипсета хрен разберешься с инициализацией оперативной памяти. Это делает специальный бинарник от интела. В проекте OpenBios он тоже в виде блоба. Когда пытаешься ковырнуть, оказывается что есть недокументированные биты в регистрах PCI устройств и вообще есть устройства достпные только на PEI стадии загрузки (после чего они выключаются установкой бита в регистре и пропадают из PCI Config space, обратно включить нельзя). Документация о железе не полная, увы.

Как такое отлаживать? Ну, из отладочных средств широкодоступны POST карта и вывод логов в COM порт. А отладчик впиливаем прямо в исследуемый модуль, модифицируя UEFI капсулу. В рантайме код PEI стадии изменить нельзя, он исполняется напрямую из флешки (если попытаться - инструкция записи отрабатывает, но по адресу читается что и было). Памяти то ещё нет, только кеш CPU.

Добавлено спустя 59 минут
Выкладываю ещё исходнк строковых функций, который работает хоть в режиме ядра (пофиг какой ос), хоть в PEI стадии биос. Не работает только на стадии до инициализации дерева системных шин (это два моста чипсета и контроллеры шин DMI / QPI), но их реально проинициализировать самому, по докам.

Добавлено спустя 1 час 2 минуты
___ - com_dbg.7z

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: r_e, dezmand07, Katana, hlmadip, Jupiter, mak, plutos

ntldr
На всякий случай уточню для тех, кто будет говорить, что не грузится: бинарь работает только при отключении в BIOS материнки Secure Boot.

Спасибо, конечно, поставил, но форум не даёт благодарить одного и того же участника чаще одного раза в 24 часа.

-----
EnJoy!

| Сообщение посчитали полезным:

Обновляю выкладку строковых функций для COM порта.
Недавно пришлось работать с таким "отладчиком", довёл до ума то что было набросано на скорую руку.

Исходник полностью С99 с x86/x64 интринсиками для работы с портами ввода-вывода. Компилируется VS2015 и GCC. Все функции реализованы автономно, без зависимостей от ОС и стандартных библиотек.

Прототипы функций:


printf работает большей частью идентично стандартному из VS2015, поддерживает всё кроме флоатов.

Главный недостаток этого способа отладки - скорость порта 115200, слишком мала чтобы сливать в реалтайме трейслог или чтобы обрабатывать отладочные события на внешней системе. Зато можно посмотреть что происходит во всяких труднодоступных местах без экзотического аппаратного отладчика. По простоте использования сравнимо с пост картой но горазно информативнее.

8146_14.12.2018_EXELAB.rU.tgz - comdbg.zip

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: plutos

Начал читать книгу Салихана ("BIOS DISASSEMBLY NINJUSTSU UNCOVERED" by DM Salihun), чтобы как-то постепенно разбираться с данной темой.
Он в качестве примера рассматривает bios file da8r9025.rom

"This BIOS file is da8r9025.rom, a BIOS file for a Supermicro H8DAR-8 motherboard"

K своей книге oн приложил CD-ROM, на котором полно всякой всячены, картинок и прочего, а этого файла нет.

Может кто поделится? интересно самому попробовать, чем просто на картинки смотреть.
А его --> сайт <--довольно интересный, но мне трудно судить. я пока далеко не в теме...

update:
нашел da8r5226.rom.
Этот --> FILE <--видимо гораздо новее того, что я искал, но и самой книге больше 11-ти лет, так что буду его исследовать.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Я бы советовал изучать сразу UEFI, на старьё не тратить время или изучать лишь поверхностно (есть справочник реалмодовых прерываний, его и общего понимания ассемблера достаточно чтобы начать что-то писать).

Все новые проекты стоит затачивать сразу и только под UEFI. Это избавит вас от дикого количества головняка.

PS: статья по теме UEFI руткитов:

f200_15.12.2018_EXELAB.rU.tgz - efi_rootkits.pdf

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: plutos

ntldr там на немецком. есть что на английском по теме рк в таком же ключе? заранее спасибо.

| Сообщение посчитали полезным: