|
Título: Se podria infectar una BIOS? Publicado por: lapsus en 26 Diciembre 2010, 01:08 am Aviso: paja mental de pregunta...
El topic es la pregunta, no quiero saber el como, pq no lo comprendería, pero me gustaria q algun gurú me dijera si es posible, al menos teóricamente, infectar una bios con código malicioso, q afecte a un determinado SO; de modo q al reinstalarlo limpio este se vuelva a infectar incluso aislandolo del exterior durante su reinstalacion. ¿Es decir, se puede almacenar (esto creo q si) código en la bios y despues q este código se dispare desde la bios al SO (marcando por ejemplo alguna parte del hardware como no actualizado, y desde ahí, por programacion de drivers...)? ¿Estoy viendo demasiadas pelis de hackers ultimamente, quizá? xD Título: Re: Se podria infectar una BIOS? Publicado por: madpitbull_99 en 26 Diciembre 2010, 01:20 am Se puede hacer, no es fácil, pero se puede. De hecho hay malware que se guardan en la bios, simplemente "hay que poner el código donde quieras".
Mira este articulo: Citar Recent research suggests that rootkit malware can be designed to infect the flash memory of the BIOS and "live" in the BIOS, thereby surviving the "clean install" so many of us recommend as the "ultimate" and often the best solution for infestations. A clean install wouldn't remedy the infection . . . it would just come back again from the BIOS unless the BIOS was also flashed with a clean copy. Which means users would have to keep a clean copy of the BIOS handy and also know how to flash it. At this stage it's only been demonstrated in controlled environments by security researchers, but the malware writers can't be too far behind and some think malware bums may be ready to release something into the wild in the next few weeks. Don't want to sound like the-sky-is-falling Chicken Little, but this is not good news! If the malware creators find a way of injecting it into the BIOS of an infected machine there would have to be a complete rethink on the way that users are advised, and that in itself will be no mean feat either. We may have to go back to geek school to learn how to deal with this kind of nastiness . If the malware writers have the ability to affect a computer's flash memory with a rootkit, the BIOS would need to be configured to disable writing to flash memory. BIOS password? It's always a steep learning curve and the hill just got steeper! Security expert articles on this can be found here (http://www.theregister.co.uk/2009/03/24/persistent_bios_rootkits/) and here (http://www.theregister.co.uk/2006/01/27/rootkits_bios/). BIOS password issues are discussed on Tom's Hardware here (http://www.tomshardware.com/reviews/bios-beginners,1126-10.html). This injection is true for systems that are "open" and I quote from one article: "Of course, injecting code into the BIOS is no easy feat. It requires physical access to the machine or an exploit that hands an attacker unfettered root access" Unfettered root access = ability to make changes to the bios, aka: Flash BIOS Some Mainboards have Jumpers to protect before erroneously Flashing. Other Mainboards have a BIOS-Setup-Option called "Flash Bios Protection" (http://www.techarp.com/showFreeBOG.aspx?lang=0&bogno=88), "Firmware Write Protect", "Bios Guardian" or "BIOS-ROM Flash-Protect" Whether via jumper or BIOS setting, they are generally enabled to protect you, though it doesn't hurt to check for yourself to make sure. Fuente: HowToGeek [Forum] (http://www.howtogeek.com/forum/topic/bios-malware) Hay una presentación de la conferencia BlackHat bastante interesante: Implementing and Detecting an ACPI BIOS Rootkit. John Heasman [Enlace] (http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-Heasman.pdf) Título: Re: Se podria infectar una BIOS? Publicado por: lapsus en 26 Diciembre 2010, 01:34 am Muchas Gracias por tu time y los links, me los estudiaré.
Pero asi de primeras dice que hace falta acceso físico a la máquina y privilegios. Como que son articulos de hace unos años, porque las actualizaciones de bios las hay q funcionan desde el windoze. Coño, que se me habia pasao el flash protect, esperate q reinicio y ahora welvo. xDD Saludos. PD.: El ultimo enlace no me tira? el de la con Título: Re: Se podria infectar una BIOS? Publicado por: madpitbull_99 en 26 Diciembre 2010, 01:46 am Ya esta solucionado el link de la Defcon.
Título: Re: Se podria infectar una BIOS? Publicado por: lapsus en 26 Diciembre 2010, 01:54 am Eternamente agradecido, así da gusto. Espero poder aportar a la comunidad proximamente ;D
Me asalta una, espero q última cuestión. tengo dos bios que no traen la opcion de la proteccion, en algun paper desos pone q la contraseña le añade un nivel de seguridad, pero visto que se puede actualizar desde el SO la bios, me parece q ponerle pass de admin no ayuda pal tema, me equivoco? Título: Re: Se podria infectar una BIOS? Publicado por: leucocito en 26 Diciembre 2010, 02:10 am Hola lapsus quedate tranquilo ya que NADIE puede infectar tu BIOS ningun tipo de software programado por un desarrollador puede infectar tu bios ya que no tienen nigun privilegio,no me he leido el texto debido a mi escaso nivel de ingles,pero he visto que mencionas que hay que tener acceso directo con la maquina,hay ya estamos ablando de posibles actualizaciones de estos tipos de memorias,como son la prom,eprom,eeprom que si se puede actualizar teniendo la debida actualizacion,pero estamos ablando de afectar a el entorno de el anillo Nº1 y eso no lo puede alguien que trabaja a el nivel Nº3
Saludos! Título: Re: Se podria infectar una BIOS? Publicado por: lapsus en 26 Diciembre 2010, 02:48 am Yo tranquilo estoy, solo que me gusta adquirir conocimientos.
Pero vamos a ver, en cualquier sitio puedes ver en google, o bien en la web de fabricante de tu bios q puedes actualizarla (pq en windows normalmente el usuario tiene todos los privilegios) desde el SO; entonces un malware q tenga acceso a nivel de root puede hacerlo, esa es mi conclusion. Ah, y aunque no sepas ingles, esta sangoogletraslate :D Título: Re: Se podria infectar una BIOS? Publicado por: madpitbull_99 en 26 Diciembre 2010, 15:14 pm hay que tener acceso directo con la maquina No necesariamente, usa el traductor de Google si no entiendes bien el texto: Citar It requires physical access to the machine or an exploit that hands an attacker unfettered root access. En Windows cada poco tiempo se descubre algún exploit que eleva privilegios.Te recomiendo la presentación que he dejado mas arriba. Título: Re: Se podria infectar una BIOS? Publicado por: leucocito en 26 Diciembre 2010, 21:31 pm Siento decirte madpitbull_99 que no he leido el texto en ingles ya que no hace falta leer nada ya que es "IMPOSIBLE" si no ya lo hubiera leido con el traductor.
En Windows cada poco tiempo se descubre algún exploit que eleva privilegios. En eso estoy totalmente deacuerdo con tigo, pero como mencione no a ese tipo de privilegios ya que esos tipos de memoria es x decirlo de alguna manera independiente a lo que pueda correr en algun S.O salu2! ;) Título: Re: Se podria infectar una BIOS? Publicado por: Ca0s en 26 Diciembre 2010, 22:46 pm Sí puede modificarse la BIOS desde un programa en windows. Yo mismo la he actualizado en varias ocasiones con uno. Sólo necesitas privilegios de admin.
Es complejo pues has de modificar muy precisamente y tener en cuenta la BIOS ya instalada, pero posible. Título: Re: Se podria infectar una BIOS? Publicado por: leucocito en 26 Diciembre 2010, 23:44 pm Hola ca0s prodrias decidme el nombre del software? no te referiras a los software que puedes hacer overlocking?
espero su respuesta,salu2! Título: Re: Se podria infectar una BIOS? Publicado por: Ca0s en 27 Diciembre 2010, 17:16 pm Toshiba/Phoenix Update Tool. Si estuviese en windows te daba el nombre y versión exactos, pero como ando en linux no me apetece buscarte más.
De todas formas solo hay que buscar en google para encontrar softs similares de actualización de BIOS. Luego sí es modificable. Edit: Éste más o menos: Código: http://aps2.toshiba-tro.de/kb0/HTD9502M10000R01.htm Título: Re: Se podria infectar una BIOS? Publicado por: leucocito en 27 Diciembre 2010, 21:36 pm Ca0s no me refería a actualización de la BIOS,y quien dijo que no se podia modificar?
las memorias eprom=se modifican electricamente las memorias eeprom=se modifican con luz ultravioleta ....... ....... Esto son claros ejemplos de BIOS modificables,no me refiero a actualizaciones (soporte) que da la casa de la BIOS Las BIOS se pueden actualizar pero de hay a lo que mencione no es lo mismo. salu2! ;) Título: Re: Se podria infectar una BIOS? Publicado por: Ca0s en 27 Diciembre 2010, 22:20 pm Entonces cual es el problema?
Si se tienen privilegios, se puede. y como dijo madpitbull en windows hay vulns de vez en cuando (que sean públicas...). Con privilegios se puede ejecutar código en r0, luego acceder a donde te plazca. Y si puede actualizarse, puede modificarse, no? Creo que ya está solucionado de todas formas. Título: Re: Se podria infectar una BIOS? Publicado por: Dracomega en 5 Enero 2011, 23:13 pm Si no me equivoco, las BIOS que traen los ordenadores de hoy en dia, son memorias flash, facilmente modificables desde el SO, y que no requieren alimentacion para mantener sus datos.
Al igual que se flasean psp, cable modem, una bios puede ser actualizada con un firmware "pirata", y que por tanto pueda contener pequeños codigos maliciosos. Pero creo quen los software de actualizacion requieren que este el firmware firmado digitalmente por el fabricante, por lo que es mas complejo el asunto :) Y existen muchos troyanos, en los que puedes tomar un control remoto de la maquina, manejar sus archivos y demas... asi que esa parte no creo que sea "demasiado" complicada, relativamente ^^ Un saludo Título: Re: Se podria infectar una BIOS? Publicado por: lapsus en 6 Enero 2011, 14:11 pm Añado links o nombres de archivos interesantes sobre el tema ;D
(gracias otra vez al pitbull q me puso sobre la pista) 031-034_MalwareLM39.pdf Numero 39 de linux magazine Attacking®Intel BIOS Rafal Wojtczuk and Alexander Tereshkin http://invisiblethingslab.com Attacking SMM Memory via Intel® CPU Cache Poisoning http://theinvisiblethings.blogspot.com/2009/03/attacking-smm-memory-via-intel-cpu.html Firmware Rootkits: The Threat to the Enterprise NGSConsulting Otra vez, de John Heasman, Director of Research Extracto De: txs-rootkits_and_digital_forensics.pdf Citar 3.4Firmware Level If an attacker is looking to utilize a simple, and highly undetectable, sequence of steps, a firmware level rootkit can be extremely effective. Firmware level rootkits are implemented at the hardware level, and lay near the bottom of the system stack. By modifying code directly on the hardware, an attacker can implement a program of her choosing, while remaining extremely difficult to detect. Targets of firmware level rootkits include peripheral hardware, disk controllers, USB keys, processors, and firmware memory. At this point in time, firmware level rootkits are mostly theoretical and have only recently been demonstrated in a fully functional proof of concept. Very limited public research has been done in this area. The general concept of firmware rootkits is the idea that firmware can be modified from the operating system directly. In particular, BIOS, ACPI, expansion ROMS, and network card PXE systems can typically be modified by administratively run code. What makes firmware rootkits interesting is that in many instances, these firmware devices are executed at boot time, well before the actual execution of the operating system. This leaves a window of opportunity for a subversive piece of firmware to hook interrupts that may be called by the operating system at a later time. For example, it is possible to hook the int10 interrupt, the video interrupt, and have the firmware modify program execution based on the execution of this interrupt. [28] The network card PXE firmware is another interesting target. This firmware gets executed prior to the operating system start up to determine if the host should download and/or boot over a network connection. Modification of this firmware leaves attack vectors open including the ability to install, run, and potentially update a rootkit that is located within this or other pieces of firmware. [28] Once a rootkit has been installed in a piece of firmware it is very difficult to remove. Reinstallation of the operating system, formatting the hard disk, and even physically removing and installing a new storage mechanism will not result in the removal of the subversive code. The effected piece of firmware must be returned to its safe state to ensure the removal of the firmware rootkit. [28] Heasman, J. “Firmware Rootkits and the Threat to the Enterprise”, Blackhat DC, 2007 http://www.ngssoftware.com/research/papers/BH-DC-07- Heasman.pdf Por ultimo encontre este articulo: File: archives/66/p66_0x0b_A Real SMM Rootkit_by_Core Collapse.txt ==Phrack Inc.== Volume 0x0d, Issue 0x42, Phile #0x0B of 0x11 |=-----------------------------------------------------------------------=| |=---=[ A Real SMM Rootkit: Reversing and Hooking BIOS SMI Handlers ]=---=| |=-----------------------------------------------------------------------=| |=------------------------=[ Filip Wecherowski ]=------------------------=| http://www.phrack.org/issues.html?issue=66&id=11 En la web de phrack. Muy buena web. Por cierto acojonante el curro de los d ITL, eso ya es pa otro tema. Saludos Título: Re: Se podria infectar una BIOS? Publicado por: flacc en 11 Enero 2011, 04:27 am me recuerda a chernovil, un cabrón que borraba la bios y dejaba inservible en hd :xD
Título: Re: Se podria infectar una BIOS? Publicado por: konanxp en 18 Febrero 2011, 10:58 am Todo es posible, sólo hay que saber como hacerlo. Si que se puede aunque no es fácil, como no es fácil programar un rat, etc. Estamos muy acostumbrados a dar a un boton y se que copie un cd, etc. Para copiar un cd hace falta muchos conocimentos como para todo.
Un saludo. Título: Re: Se podria infectar una BIOS? Publicado por: flacc en 20 Febrero 2011, 06:36 am no hay que olvidar que el dice " hay que tener acceso directo a la máquina", excepto por una cosa... no dice quien específicamente tiene que tener acceso a ella... :xD así que supongo que si alguien programa, digamos altera alguna que otra actualización podría no tan cabronamente infectar el so al instalarse o estropear el so durante la instalación, no como chernovil :xD... pero no me interesa, porque la idea de infectarte tu mismo me asquea, ademas hay mejores cosas que programar, y mas que aprender xd...saludos
Título: Re: Se podria infectar una BIOS? Publicado por: Slava_TZD en 23 Febrero 2011, 20:18 pm Otra interesante charla sobre el tema es una que se dió en la ekoparty del año pasado, ahora no me acuerdo del nombre, pero los videos me parece que ya estan colgados.
|