Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | | | | | | | | | | | |
Ты ведь это не серьезно? 23.03.15 09:44 Число просмотров: 5401
Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 23.03.15 09:46 Количество правок: 1
|
> Абсолютно неподконтрольно ЦП. Снаружи эта деятельность > вообще не видна. А способ отправки отчета может быть любой > - вписать в очередь отправки каких-либо сообщений. > Запатчить любой автоматически загружаемый файл в системе.
Иными словами, ты полагаешь, что вредоносный код не только научили работать на любых контроллерах имеющихся на рынке жестких дисков, но и реализовали в этом коде, как минимум, фильтр-драйвер ntfs и алгоритм подгонки контрольной суммы, чтобы реализованная в ОС проверка подписи приняла этот файл за валидный?
Найди мне, пожалуйста, новость об этой "находке" на официальном сайте ЛК и возможно, я тоже углублюсь в этот параноидальный бред.
|
<hacking>
|
"Лаборатория Касперского" обнаружила уникальную американскую программу кибершпионажа 17.02.15 10:37
Автор: Zef <Alloo Zef> Статус: Elderman
|
http://txt.newsru.com/world/17feb2015/kasper.html
Это - как? Ну, хорошо - она прошивается в контроллер винта, а как она сольет оттуда инфу? Для этого надо получить доступ к сети или сменным носителям через ОС. Т.е. в ОС должен сидеть какой-то троян... Или - через МБР и подставной Бут до загрузки ОС? Но тогда как оно узнает ИП и все остальное? Или все-таки "фирменная" закладка в Винде? Но тогда нафига гимор с винтом? Умеет читать настройки сети прямо с диска для любой ОС?
|
|
Как, как... Лезем на оф.сайт Каспера и ищем эту новость. 18.02.15 02:07
Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 18.02.15 02:10 Количество правок: 2
|
> Это - как? Ну, хорошо - она прошивается в контроллер винта, > а как она сольет оттуда инфу? Для этого надо получить > доступ к сети или сменным носителям через ОС. Т.е. в ОС > должен сидеть какой-то троян... Или - через МБР и > подставной Бут до загрузки ОС?
MBR? А если это GPT и BIOS с UEFI и защищенной загрузкой, что сейчас имеется на всех бюджетных ноутах?
Ну, допустим, при чтении нулевого сектора подставляет зараженный код, который, в свою очередь, патчит BIOS... А какой код? Intel x86? А если проц ARM, PowerPC или Эльбрус?
ИМХО, пол рунета купились на утку или на классный маркетинговый ход ЛК )))
|
| |
контроллер и сам может записать что угодно на диск, не задействуя центральный процессор 18.02.15 13:26
Автор: dl <Dmitry Leonov>
|
|
|
необязательно 17.02.15 11:16
Автор: dl <Dmitry Leonov> Отредактировано 17.02.15 11:17 Количество правок: 1
|
Во многих контроллерах вполне себе arm-совместимые процессоры, так что оно может, например, тихо поднять там какой-нибудь линукс, живущий под пользовательской системой. А сетевые настройки в большинстве случаев спокойно получаются по dhcp.
|
| |
а если присутствует декомпозиция 20.02.15 09:38
Автор: hotice Статус: Незарегистрированный пользователь
|
Допустим что ЛК действительно что-то нашла в прошивках HDD(SSD) дисков.
Помниться в 90-х была тема про троян в чипе сетевой карты или что то вроде того.
что если это всё головы гидры, не исключено что часть из них(голов) присутствует в ОС.
Тогда ребус довольно хорошо складывается, трудно обнаружить, сложно противостоять, в конце концов изящно и жестоко, в лучших традиция :)
|
| | |
Для дискового варианта все это не надо! 21.02.15 05:25
Автор: Zef <Alloo Zef> Статус: Elderman
|
Контроллер-то может подменить прозрачно для системы и БИОС любые кластеры в любой момент.
|
| | | |
Все исполняемые бинарники в винде подписаны - в любой момент... 03.03.15 15:51
Автор: Killer{R} <Dmitry> Статус: Elderman
|
> Контроллер-то может подменить прозрачно для системы и БИОС > любые кластеры в любой момент. Все исполняемые бинарники в винде подписаны - в любой момент можно проверить их целостность, чем SFC занимается на регулярной основе и если системный файл будет поврежден - немедленно выругается и попытается его восстановить. А в кернелмод неподписанное даже вгрузить не выйдет (в х64). Ну а совсем уж параноики могут воспользоваться EFS.
|
| | | | |
Оно шерстит содержимое диска прозрачно для любой системы 06.03.15 05:59
Автор: Zef <Alloo Zef> Статус: Elderman
|
И отправляет отчет до ее загрузки.
|
| | | | | |
Как отправляет? Фирмварь ЖД исполняется на контроллере ЖД, а... 07.03.15 16:23
Автор: Killer{R} <Dmitry> Статус: Elderman Отредактировано 07.03.15 16:48 Количество правок: 4
|
> И отправляет отчет до ее загрузки. Как отправляет? Фирмварь ЖД исполняется на контроллере ЖД, а не процессоре компа и может общаться с внешним миром только посредством посылки ATA команд совершенно другому софту, работающему на компе. А среди ATA команд есть только команды прочитать сектор/записать сектор + куча всякой дополнительной сервисной фигни, но нету ничего относящегося "отправить отчет", а если бы было - требовало бы поддержки со стороны того самого софта на компе. Софт на компе == BIOS или драйер контроллера HDD, установленный в ОС. Если и в нем будет закладка - то каков смысл патчить HDD? А установить в него закладку сам HDD не сможет, ибо BIOS грузится с флэша, а все что грузится не с флэша в режиме ядра - нынче проверяется на предмет подписанности. Причем проверяются не только драйвера ОС, но и загрузчик (UEFI secure boot).
ЗЫ я понимаю еще еслиб патчили видеокарты или еще какие нить железяки, висящие на PCI-E - они то как раз имеют доступ к памяти компа (bus mastering все дела). А вот на ЖД как раз в этом плане все туго.
|
| | | | | | |
Так.. смотрим типы фреймов SATA (FIS): 08.03.15 14:25
Автор: :-) <:-)> Статус: Elderman
|
> ... А среди ATA команд есть только > команды прочитать сектор/записать сектор + куча всякой > дополнительной сервисной фигни, но нету ничего относящегося > "отправить отчет", а если бы было - требовало бы поддержки > со стороны того самого софта на компе.
Так.. смотрим типы фреймов SATA (FIS):
27h - Register FIS (HBA to Device)
34h - Register FIS (Device to HBA)
Копия регистров ATA (1F0, 1F1, и т.д.) - действительно хрень...
дальше интереснее...:
39h - DMA Activate (Device to HBA), SATA I
а вот это уже прямо Bus Master получается:
41h - First Party DMA Setup with Auto Activation, Bidirectional, SATA II
First Party DMA Setup
The second generation of SATA defines a different version of the DMA Setup to support NCQ. Using this technique, the drive can read data from or write data to a disc out of order to reduce overall drive latency. Consequently, the drive must issue the DMA Setup FIS to the HBA to specify which command and memory buffer offset that must be accessed to store or retrieve data it is currently transferring.
|
| | | | | | | |
Угу, смотрим:... 08.03.15 19:45
Автор: Killer{R} <Dmitry> Статус: Elderman
|
> > ... А среди ATA команд есть только > > команды прочитать сектор/записать сектор + куча всякой > > дополнительной сервисной фигни, но нету ничего > относящегося > > "отправить отчет", а если бы было - требовало бы > поддержки > > со стороны того самого софта на компе. > > Так.. смотрим типы фреймов SATA (FIS): > 27h - Register FIS (HBA to Device) > 34h - Register FIS (Device to HBA) > Копия регистров ATA (1F0, 1F1, и т.д.) - действительно > хрень... > > дальше интереснее...: > 39h - DMA Activate (Device to HBA), SATA I > > а вот это уже прямо Bus Master получается: > 41h - First Party DMA Setup with Auto Activation, > Bidirectional, SATA II > First Party DMA Setup
Угу, смотрим: http://www.intel.com/Assets/PDF/whitepaper/252664.pdf
Figure 3. DMA Setup FIS, видим что адресов нету, а есть только идентификаторы DMA буферов и смещения в них. Местоположение буферов в памяти же устанавливается хостом в ответ на этот запрос. Ну и далее Serial ATA II Native Command Queuing has a mechanism such that the drive can select the DMA
context for a subsequent data transfer without host driver software intervention using the host
controller. This mechanism is called First Party DMA. The drive selects the DMA context by
sending a DMA Setup FIS to the host controller specifying the tag of the command that the data
transfer is for. The host controller will load the scatter/gather table pointer for that command (based
on the tag value) into the DMA engine. Then the DMA transfer may proceed.
То есть винт не может попросить 'записать с DMA в физ память по такомуто адресу', а может 'записать с DMA в подготовленный для меня буфер'. Хотя, учитывая наличие поля смещения, можно допустить вероятность тупых багов в драйверах с возможностью выхода за границы буфера.
|
| | | | | | | | |
Ну, хорошо, если так. 08.03.15 20:02
Автор: :-) <:-)> Статус: Elderman
|
Ну, хорошо, если так.
Это обнадеживает: The use of tags allows the host to protect memory regions from being errantly accessed by the device.
|
| | | | | | | | | |
Мля! Она прсто размещает скрытый раздел в область резервных кластеров 09.03.15 04:34
Автор: Zef <Alloo Zef> Статус: Elderman
|
Пластины винта имеют емкость на четверть большую заявленной. Эти нераспределенные сектора контроллер использует для грячей подмены поврежденных. Включонный винт непрерывно мониторит собственную поверхность и подменяет сектора, из которых инфа читается с ошибками, резервом.
В этом резерве можно чорта зарыть. При включении хакнутый контроллер подменяет МБР липовой, указыващей на скрытый раздел, в котором сидит целая ОСь, которая и выполняет обмен данными с шпионским сервером, после чего восстанавливается оригинальная МБР и идет нормальная загрузка.
|
| | | | | | | | | | |
Ну даже если зарыто. Что с этим делать? ) 13.03.15 00:04
Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 13.03.15 00:04 Количество правок: 1
|
UEFI secure boot не позволит загрузить то, что не является подписанным загрузчиком и, соответственно, даже если подменить 0-ой сектор (что работает только для MBR, но не для GPT) и произвести загрузку и исполнение какого-то кода перед стартом ОС то что это даст? Загрузчик операционной системы всё равно всё по новой переинициализирует и никакой шпионский софт над режимом отладки повиснуть не сможет.
|
| | | | | | | | | | | |
Ты не понял! 13.03.15 03:55
Автор: Zef <Alloo Zef> Статус: Elderman
|
Ему не нужно проникать в систему вообще! Прошерстить диск он может сам по себе в поцессе теневого сканирования/замены поврежденных секторов. Разве ты не знаешь, что современные винты все свободное время автоматически сканят пластины и переадресуют ненадежно читающиеся сектора на резервное место, которого на них ок. 40%? Там же и прячется скрытый раздел, с мини-ОС и драйверами сетевых карт. Просканил, при очередной перезагрузке подсунул скрытый раздел, бутнул с него, зарулил сетевуху, отправил отчет, ребутнулся с нормального раздела. Все. Единственно, что, кроме драйвера сетевухи надо - нашерстить на диске настройки сети. Это-то и перепрограммированный контроллер заранее сделать может.
|
| | | | | | | | | | | | |
А если контроллер моей материнки умеет отключать и включать... 14.03.15 04:07
Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 14.03.15 04:08 Количество правок: 1
|
А если контроллер моей материнки умеет отключать и включать диски налету, и после очередного такого выключения/включения диск не поймет из какого S режима его подняли и выдаст работающей операционке весь раздел с потрохами в надежде, что вот сейчас то всё и случиться? )
Хватит параноить! Пора трезво взглянуть на вещи.
|
| | | | | | | | | | | | | |
А проверить, возможна ли такая хрень? 14.03.15 09:30
Автор: Zef <Alloo Zef> Статус: Elderman
|
что, нельзя заражать только те диски, которые этим не страдают? Это же спецслужбы! У их несолько иной урвень финансирвания и потребностей, чем у "вольных хакеров". Тебе бы вот пришло в голову "стухнуть" Сименсовские контроллеры?
|
| | | | | | | | | | | | | | |
А причем тут диски? Накопитель может быть любой. 16.03.15 13:30
Автор: Den <Денис Т.> Статус: The Elderman
|
Изучи для начала вопрос про защищенную загрузку UEFI. Ты поймешь, что от диска ничего не зависит. Защещенный загрузчик можно и на флешку запихать.
> что, нельзя заражать только те диски, которые этим не > страдают? Это же спецслужбы! У их несолько иной урвень > финансирвания и потребностей, чем у "вольных хакеров". Тебе > бы вот пришло в голову "стухнуть" Сименсовские контроллеры?
Да хоть десять спецслужб! Нет абсолютно никакого смысла заражать прошивки дисков. Смысл есть только в заражении BIOSа ПК с помещением вредоносного кода в обработчик прерывания 13h. Но даже это имеет смысл только при использовании старой версии загрузки MBR, но не при использовании UEFI Secure Boot.
|
| | | | | | | | | | | | | | | |
Смысл заражения в том, что анализ диска осуществляет контроллер 21.03.15 05:23
Автор: Zef <Alloo Zef> Статус: Elderman
|
Абсолютно неподконтрольно ЦП. Снаружи эта деятельность вообще не видна. А способ отправки отчета может быть любой - вписать в очередь отправки каких-либо сообщений. Запатчить любой автоматически загружаемый файл в системе.
|
| | | | | | | | | | | | | | | | |
Ты ведь это не серьезно? 23.03.15 09:44
Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 23.03.15 09:46 Количество правок: 1
|
> Абсолютно неподконтрольно ЦП. Снаружи эта деятельность > вообще не видна. А способ отправки отчета может быть любой > - вписать в очередь отправки каких-либо сообщений. > Запатчить любой автоматически загружаемый файл в системе.
Иными словами, ты полагаешь, что вредоносный код не только научили работать на любых контроллерах имеющихся на рынке жестких дисков, но и реализовали в этом коде, как минимум, фильтр-драйвер ntfs и алгоритм подгонки контрольной суммы, чтобы реализованная в ОС проверка подписи приняла этот файл за валидный?
Найди мне, пожалуйста, новость об этой "находке" на официальном сайте ЛК и возможно, я тоже углублюсь в этот параноидальный бред.
|
|
|