Se podria infectar una BIOS?

Iniciado por lapsus, 26 Diciembre 2010, 01:08 AM

0 Miembros y 2 Visitantes están viendo este tema.

leucocito

Hola ca0s prodrias decidme el nombre del software? no te referiras a los software que puedes hacer overlocking?

espero su respuesta,salu2!

Ca0s

#11
Toshiba/Phoenix Update Tool. Si estuviese en windows te daba el nombre y versión exactos, pero como ando en linux no me apetece buscarte más.
De todas formas solo hay que buscar en google para encontrar softs similares de actualización de BIOS. Luego sí es modificable.
Edit:
Éste más o menos:
http://aps2.toshiba-tro.de/kb0/HTD9502M10000R01.htm

leucocito

Ca0s no me refería a actualización de la BIOS,y quien dijo que no se podia modificar?

las memorias eprom=se modifican electricamente                   
las memorias eeprom=se modifican con luz ultravioleta           
.......
.......
Esto son claros ejemplos de BIOS modificables,no me refiero a actualizaciones (soporte) que da la casa de la BIOS

Las BIOS se pueden actualizar pero de hay a lo que mencione no es lo mismo.


salu2! ;)

Ca0s

Entonces cual es el problema?
Si se tienen privilegios, se puede. y como dijo madpitbull en windows hay vulns de vez en cuando (que sean públicas...). Con privilegios se puede ejecutar código en r0, luego acceder a donde te plazca.
Y si puede actualizarse, puede modificarse, no?
Creo que ya está solucionado de todas formas.

Dracomega

Si no me equivoco, las BIOS que traen los ordenadores de hoy en dia, son memorias flash, facilmente modificables desde el SO, y que no requieren alimentacion para mantener sus datos.

Al igual que se flasean psp, cable modem, una bios puede ser actualizada con un firmware "pirata", y que por tanto pueda contener pequeños codigos maliciosos.

Pero creo quen los software de actualizacion requieren que este el firmware firmado digitalmente por el fabricante, por lo que es mas complejo el asunto :)

Y existen muchos troyanos, en los que puedes tomar un control remoto de la maquina, manejar sus archivos y demas... asi que esa parte no creo que sea "demasiado" complicada, relativamente ^^

Un saludo

lapsus

#15
Añado links o nombres de archivos interesantes sobre el tema ;D
(gracias otra vez al pitbull q me puso sobre la pista)

031-034_MalwareLM39.pdf
Numero 39 de linux magazine

Attacking®Intel BIOS
Rafal Wojtczuk and Alexander Tereshkin
http://invisiblethingslab.com

Attacking SMM Memory via Intel® CPU Cache Poisoning
http://theinvisiblethings.blogspot.com/2009/03/attacking-smm-memory-via-intel-cpu.html

Firmware Rootkits:
The Threat to the Enterprise
NGSConsulting
Otra vez, de John Heasman, Director of Research

Extracto De: txs-rootkits_and_digital_forensics.pdf
Citar3.4Firmware Level
If an attacker is looking to utilize a simple, and highly
undetectable, sequence of steps, a firmware level rootkit can be
extremely effective. Firmware level rootkits are implemented at
the hardware level, and lay near the bottom of the system stack.
By modifying code directly on the hardware, an attacker can
implement a program of her choosing, while remaining extremely
difficult to detect. Targets of firmware level rootkits include
peripheral hardware, disk controllers, USB keys, processors, and
firmware memory. At this point in time, firmware level rootkits
are mostly theoretical and have only recently been demonstrated
in a fully functional proof of concept. Very limited public
research has been done in this area.
The general concept of firmware rootkits is the idea that firmware
can be modified from the operating system directly. In particular,
BIOS, ACPI, expansion ROMS, and network card PXE systems
can typically be modified by administratively run code. What
makes firmware rootkits interesting is that in many instances,
these firmware devices are executed at boot time, well before the
actual execution of the operating system. This leaves a window of
opportunity for a subversive piece of firmware to hook interrupts
that may be called by the operating system at a later time. For
example, it is possible to hook the int10 interrupt, the video
interrupt, and have the firmware modify program execution based
on the execution of this interrupt. [28]
The network card PXE firmware is another interesting target. This
firmware gets executed prior to the operating system start up to
determine if the host should download and/or boot over a network
connection. Modification of this firmware leaves attack vectors
open including the ability to install, run, and potentially update a
rootkit that is located within this or other pieces of firmware. [28]
Once a rootkit has been installed in a piece of firmware it is very
difficult to remove. Reinstallation of the operating system,
formatting the hard disk, and even physically removing and
installing a new storage mechanism will not result in the removal
of the subversive code. The effected piece of firmware must be
returned to its safe state to ensure the removal of the firmware
rootkit.

[28] Heasman, J. "Firmware Rootkits and the Threat to the
 Enterprise", Blackhat DC, 2007
   http://www.ngssoftware.com/research/papers/BH-DC-07-
   Heasman.pdf

Por ultimo encontre este articulo:
File: archives/66/p66_0x0b_A Real SMM Rootkit_by_Core Collapse.txt            ==Phrack Inc.==

      Volume 0x0d, Issue 0x42, Phile #0x0B of 0x11

|=-----------------------------------------------------------------------=|
|=---=[ A Real SMM Rootkit: Reversing and Hooking BIOS SMI Handlers ]=---=|
|=-----------------------------------------------------------------------=|
|=------------------------=[ Filip Wecherowski ]=------------------------=|

http://www.phrack.org/issues.html?issue=66&id=11
En la web de phrack. Muy buena web.

Por cierto acojonante el curro de los d ITL, eso ya es pa otro tema.
Saludos

flacc

me recuerda a chernovil, un cabrón que borraba la bios y dejaba inservible en hd :xD

konanxp

Todo es posible, sólo hay que saber como hacerlo. Si que se puede aunque no es fácil, como no es fácil programar un rat, etc. Estamos muy acostumbrados a dar a un boton y se que copie un cd, etc. Para copiar un cd hace falta muchos conocimentos como para todo.

Un saludo.

flacc

no hay que olvidar que el dice " hay que tener acceso directo a la máquina", excepto por una cosa... no dice quien específicamente tiene que tener acceso a ella...  :xD así que supongo que si alguien programa, digamos altera alguna que otra actualización podría no tan cabronamente infectar el so al instalarse o estropear el so durante la instalación, no como chernovil  :xD... pero no me interesa, porque la idea de infectarte tu mismo me asquea, ademas hay mejores cosas que programar, y mas que aprender xd...saludos

Slava_TZD

Otra interesante charla sobre el tema es una que se dió en la ekoparty del año pasado, ahora no me acuerdo del nombre, pero los videos me parece que ya estan colgados.


The fact is, even if you were to stop bombing us, imprisoning us, torturing us, vilifying us, and usurping our lands, we would continue to hate you because our primary reason for hating you will not cease to exist until you embrace Islam.