Собираем в этой теме инфу по UEFI руткитам и трюкам.

Начало серии постов ntldr о руткитах:
--> Link <--

LoJax - руткит

Статья на русском:
- LoJax: первый известный UEFI руткит, используемый во вредоносной кампании

Документ на английском:
- ESET-LoJax.pdf

-----
EnJoy!

| Сообщение посчитали полезным: yashechka, WildGoblin, mak

ValdikSS, спасибо, полезная работа.

К слову, руткит можно разместить и на отдельной USB флешке (чипе от неё), припаянном к материнской плате. Или даже замаскировать флешку внутри корпуса USB разъёма. Но в Setup BIOS будет светиться странный порядок загрузки...

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

В тему:
Building reliable SMM backdoor for UEFI based platforms

| Сообщение посчитали полезным: mak, plutos

--> EfiGuard<-- is a portable x64 UEFI bootkit that patches the Windows boot manager, boot loader and kernel at boot time in order to disable PatchGuard and Driver Signature Enforcement (DSE).

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: ValdikSS, mak

Эксплуатация подписанных загрузчиков для обхода защиты UEFI Secure Boot (Silent UEFIinSecureBoot Disk)
https://habr.com/ru/post/446072/

Добавлено спустя 53 минуты
Вообще, есть полезный сайт https://firmwaresecurity.com/, с кучей новостей по UEFI.

| Сообщение посчитали полезным: plutos, mak

plutos интересная и готовая штука. но... hvci оно не обходит, что и не удивительно ибо патчит обычное ядро по итогу, а не секурное (которое под гипервизором), как и вообще момент запуска гипервизора не обрабатывается, на данный момент кстати я не видел статей, чтобы копали его (хотя должен сказать что не искал вообще, просто ни статей, ни обсуждений не встречал).
по итогу - включен hvci оно не работает, секурбут вроде только на 7 робит. но все равно крутотень конечно. лет 5 назад такое никто бы не выложил)

хотя может я что-то не так понял или напутал)

| Сообщение посчитали полезным:

superakira пишет:
хотя может я что-то не так понял или напутал)

думаю, что вы все поняли правильно, но и сам могу ошибаться, посколько особенно не вникал.
Тема показалась интересной, вот и выложил ссылку с твердым намерением со временем все детально исследовать.
На каждой странице github'a есть раздел "Issues", где можно задавать вопросы авторам проэкта.
Конечно зависит от конкретного человека, но большинство охотно отвечают.
Так что не стесняйтесь, спрашивайте, авторы свой проэкт знают лучше, чем кто-либо другой.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Возможно, пригодится...
--> https://github.com/quarkslab/dreamboot <--

| Сообщение посчитали полезным:

кстати допилили книжку
rootkits & bootkits

на амазоне уже обосрали =( черт даже обидно. как раз вроде по теме (хотя зачем древние штуки они описывали.. не ясно) и уефи бкиты там как раз заявлены были.

| Сообщение посчитали полезным:

superakira пишет:
кстати допилили книжку

Да, об этом уже писали. (https://exelab.ru/f/action=vthread&forum=2&topic=2387&page=40)

plutos пишет:
Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats Александра Матросова наконец-то вышла в свет!

superakira пишет:
зачем древние штуки они описывали

Да потому, что книгу эту они начали лет 10 назад, если не раньше. Надо было либо с нуля переписывать, что бы обновить, либо уже издавать как есть.
А человек, написавший разгромную рецензию, прочел на момент ее написания всего 8 первых глав (как он сам признает!).
Книга и правда устарела, не успев родиться, но все же кое-что полезное можно извлечь. Тут ведь все зависит от уровня читателя.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos

Прямо няшка, такое доброе лицо, вы только купите книгу --> Link <--

А если там перепечатка чужих работ то его ждёт неудача очень большая.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
вы только купите книгу

а зачем ее покупать, вон МАК уже выложил в разделе Ебуки.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

superakira пишет:
кстати допилили книжку
rootkits & bootkits
Это рожалось в таких муках и на какой-то момент стало не нужно даже аффтарам, которые знатно пропиарились в свое время тыря чужие наработки для своих статеек и выступлений, а потом долго-долго пиарились на этом гапс гавне, попутно скачя по разным АВ конторам. Отсюда и тот казус что большая часть посвящена "современным угрозам" из 32 битной венды и мбр эпохи. Потом это надо было как-то закончить и туда наспех воткнули главы про ефи (благо lojax подошел и появился хоть какой-то материал - "современные угрозы" же бггг). Расписывали CI и остановились угадай где? На windows 8. Потому что весь этот материал был написан в 2011-2013 году. Вот и получилась в итоге книжка про малварку нулевых, пересказ паблик инфы, ссылок на гитхабы(причем мы и так все их знаем включая EDK2) и демонстрация возможностей uefitool (надо отдать тут должное они хотя бы внесли лепту в ее развитие). Если выкинуть 3/4 этих мемуаров и оставить относительно свежую часть (страниц 50 со скриншотами и таблицами), то книжка сойдет для общего образования. Ни академических сэмплов собственной разработки(!), ни актуальной инфы по десяткам тут нет (ладно вру есть целая 1 страница слизанная с доков мс). Книжка имхо писалась под чье-то портфолио не более. Да бгг эта тема поинтереснее будет.

| Сообщение посчитали полезным: plutos

Alchemistry пишет:
Это рожалось в таких муках и на какой-то момент стало не нужно даже аффтарам, которые знатно пропиарились в свое время

Ну, видимо в это и была идея: создать шум вокруг своего имени, а уж как именно - вопрос второстепенный. Дальше будут говорить и писать "Автор такой-то и такой-то книги", а какая там книга, мало кто знает.
А звучит очень пиздато...
Я лично рад одному: что не потратил своих кровных на эти 50 страниц.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

ХорОШИЕ люди разработали свободные альтернативы bios:
Coreboot/Libreboot

| Сообщение посчитали полезным:

Исходники TianoCore так-то тоже свободные. Правда, подавляющему большинству пользователей толку от coreboot - ноль, потому что на железе этого большинства пользователей оно не работает. А libreboot - это кастрированный coreboot, где по идеологическим причинам полностью исключена возможность работы на большей части современного железа (Intel, начиная с Nehalem, и AMD, начиная с Ryzen).

Ну и до кучи... говорить, что coreboot - альтернатива BIOS, это ошибка уровня "голое колесо это альтернатива автомобилю". Сoreboot грузит payload (с реализацией BIOS или UEFI, которая, в свою очередь, уже может загрузить любую ОС (впрочем, в качестве payload может выступать ядро линукс, но одним линуксом сыт не будешь)).

| Сообщение посчитали полезным:

BIOS/UEFI ,позволяют злоумышленникам загрузить и выполнить произвольный код,спровоцировать отказ в работе устройства, также извлекать информацию,обрабатываемую процессором/имеет доступ к содержимому памяти,практически ко всем данным на компьютере и может исполнять сторонний код,вряд ли обнаружат стандартные защитные решения).
Шифрони Coreboot/Libreboot алго SERPENT вход по паролю вход по ключу).
Клерк посоветуй книг по html?

| Сообщение посчитали полезным:

Alchemistry пишет:
Это рожалось в таких муках
Alchemistry пишет:
Вот и получилась в итоге книжка про малварку нулевых, пересказ паблик инфы

ну это старикам она мало интересна
а молодые вон подлизывают по интернету как самая крутая книга по мелваре
и очень рекомендуют покупать

| Сообщение посчитали полезным:

По-моему, самый главный критерий любой технической книги - донести до читателя что-то, что ему было непонятно и самое главное научить чему-то. Если это есть - книга хорошая, если этого нет - книга плохая.


P.S. А вдруг у книги есть тайное предназначение - выявлять стариков а сайтах профильной тематики.
Мне вот интересно какое мнение об этой книге будет у Boostyq?

| Сообщение посчитали полезным:

Lobido пишет:
BIOS/UEFI ,позволяют злоумышленникам загрузить и выполнить произвольный код,спровоцировать отказ в работе устройства, также извлекать информацию,обрабатываемую процессором/имеет доступ к содержимому памяти,практически ко всем данным на компьютере и может исполнять сторонний код,вряд ли обнаружат стандартные защитные решения).

Любая ОС это также позволяет. И Libreboot это тоже позволяет. Ровно тем же способом, что и UEFI - через эксплуатацию уязвимостей, которые есть везде.

| Сообщение посчитали полезным:

Как правило,для прерывания int 13h в таблице хранится адрес кода bios,который использует имеющуюся информацию о жестких дисках для взаимодействия с контроллером.
Прерывание int 13h представляет целую категорию дисковых функций,входят функции записи на диск,чтения с диска,форматирования дорожек получения информации о диске,13h для чтения/записи адреса CHS/LBA int 13h.
(Геометрия и внутреннее устройство жесткого диска)

| Сообщение посчитали полезным:

Lobido пишет:
Прерывание int 13h представляет целую категорию дисковых функций

и это тоже давным-давно известно, кому надо, тот давно это знает.

Если есть ссылки на интересные книги, статьи, блоги, ресурсы, то для них есть спец --> тема<--.
Туда их и выкладывай.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: