2022. október 5., szerda

Gyorskeresés

Vírus a gépben - merevlemez nélkül

Írta: | Kulcsszavak: backdoor . bios . biztonság

[ ÚJ BEJEGYZÉS ]

Az utóbbi időben egyre nagyobb figyelem fordul az abszolút perzisztens és nehezen felderíthető backdoorok felé.
Az idei BlackHat konferencián egy olyan backdoort mutattak be, mely a BIOSban figyel és képes kikerülni a különböző felderítési és eltávolítási kísérleteket. Az alábbiak vannak a tarsolyában:
- hálózatról letöltött paylod a tényleges boot folymat előtt
- OS függetlenség (Windows, linux), működik 32 és 64 bites OS-ek alatt (felett) is
- nem található meg a merevlemezen
- működés közben patcheli a memóriát, felhasználót ad hozzá, vagy tüntet el a rendszerből
- távoli hozzáférést biztosít (Windows XP Prof alatt DLL patcheléssel 2 felhasználós - észrevételni - távoli hozzáférést biztosít)
- képes másolni magát PCI eszközök BIOS-ába. pl. hálózati adapterbe
- ha a rendszer tartalmaz wifi adaptert, képes azt "csöndesen" üzemeltetni, megkerülve akár a vállalati tűzfalakat
- képes a billenytűzet távoli programozásával billenytűleütést generálni (pl ismert jelszót közvetlenül a billenytűzetről visz be, nem az OS hívások megpatchelésével)
- képes csökkenteni a rendszer védelmi szintjét: NX bit kikapcsolása, CPU mikrokód update-ek eltávolítása, Intel anti-smm protection eltávolítása, Windows ASLR kikapcsolása a random seed patchelésével.
- titkosított kommunikációs csatorna, két oldalú (szerver és kliens) certificate-ek használata
- titkosított, aláírt malware update-ek (ala Windows Update)
- rejtőzködés: szükség esetén vissza tudja írni az eredeti BIOS-t az alaplapon, OS alól a BIOS-t letölte dumy (eredeti) BIOS-t adja vissza. Felderíteni gyakorlatilag csak egy passzív Flash socketbe dugva és ott kiolvasva lehetséges.

Bővebb (azért nem túl bő) infó: Rakshasa Backdoor

Hozzászólások

(#1) sztanozs


sztanozs
veterán

Így vegyen az ember gépet... :U

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

(#2) KaiotEch


KaiotEch
nagyúr

Az első mondatból nem hiányzik betű? :F

(#3) sztanozs válasza KaiotEch (#2) üzenetére


sztanozs
veterán

Köszi :)

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

További hozzászólások megtekintése...
Copyright © 2000-2022 PROHARDVER Informatikai Kft.