Mensajes

Añado links o nombres de archivos interesantes sobre el tema
(gracias otra vez al pitbull q me puso sobre la pista)

031-034_MalwareLM39.pdf
Numero 39 de linux magazine

Attacking®Intel BIOS
Rafal Wojtczuk and Alexander Tereshkin
http://invisiblethingslab.com

Attacking SMM Memory via Intel® CPU Cache Poisoning
http://theinvisiblethings.blogspot.com/2009/03/attacking-smm-memory-via-intel-cpu.html

Firmware Rootkits:
The Threat to the Enterprise
NGSConsulting
Otra vez, de John Heasman, Director of Research

Extracto De: txs-rootkits_and_digital_forensics.pdf

3.4Firmware Level
If an attacker is looking to utilize a simple, and highly
undetectable, sequence of steps, a firmware level rootkit can be
extremely effective. Firmware level rootkits are implemented at
the hardware level, and lay near the bottom of the system stack.
By modifying code directly on the hardware, an attacker can
implement a program of her choosing, while remaining extremely
difficult to detect. Targets of firmware level rootkits include
peripheral hardware, disk controllers, USB keys, processors, and
firmware memory. At this point in time, firmware level rootkits
are mostly theoretical and have only recently been demonstrated
in a fully functional proof of concept. Very limited public
research has been done in this area.
The general concept of firmware rootkits is the idea that firmware
can be modified from the operating system directly. In particular,
BIOS, ACPI, expansion ROMS, and network card PXE systems
can typically be modified by administratively run code. What
makes firmware rootkits interesting is that in many instances,
these firmware devices are executed at boot time, well before the
actual execution of the operating system. This leaves a window of
opportunity for a subversive piece of firmware to hook interrupts
that may be called by the operating system at a later time. For
example, it is possible to hook the int10 interrupt, the video
interrupt, and have the firmware modify program execution based
on the execution of this interrupt. [28]
The network card PXE firmware is another interesting target. This
firmware gets executed prior to the operating system start up to
determine if the host should download and/or boot over a network
connection. Modification of this firmware leaves attack vectors
open including the ability to install, run, and potentially update a
rootkit that is located within this or other pieces of firmware. [28]
Once a rootkit has been installed in a piece of firmware it is very
difficult to remove. Reinstallation of the operating system,
formatting the hard disk, and even physically removing and
installing a new storage mechanism will not result in the removal
of the subversive code. The effected piece of firmware must be
returned to its safe state to ensure the removal of the firmware
rootkit.

[28] Heasman, J. "Firmware Rootkits and the Threat to the
 Enterprise", Blackhat DC, 2007
   http://www.ngssoftware.com/research/papers/BH-DC-07-
   Heasman.pdf

Por ultimo encontre este articulo:
File: archives/66/p66_0x0b_A Real SMM Rootkit_by_Core Collapse.txt            ==Phrack Inc.==

      Volume 0x0d, Issue 0x42, Phile #0x0B of 0x11

|=-----------------------------------------------------------------------=|
|=---=[ A Real SMM Rootkit: Reversing and Hooking BIOS SMI Handlers ]=---=|
|=-----------------------------------------------------------------------=|
|=------------------------=[ Filip Wecherowski ]=------------------------=|

http://www.phrack.org/issues.html?issue=66&id=11
En la web de phrack. Muy buena web.

Por cierto acojonante el curro de los d ITL, eso ya es pa otro tema.
Saludos

Oido cocina. Pos na, to queda en un lapsus.
Lo que me mola es el mazo menus y que las variables tienen más de 2 letras, no como mis códigos, q vienen ofuscaos de fabrica xD
Q pasada el wlanriv q trae reloj nicasio y to xDD. Yo me referia al generador de brutef.
Salud y buen trabajo los pl's

Hola hola.
Me he propuesto aportar un post por cada solucion válida pa' mis problemas q obtenga; asi q ahi vamos.
El patch o matic son modulos para añadir funciones al iptables. Una vez que tengas configurado el iptables (a partir de ahora $ipt=iptables), le podemos añadir funciones con los modulos de:

http://www.netfilter.org/projects/patch-o-matic/pom-external.html#pom-external-TARPIT

A mi en especial me han gustado la opcion tarpit y horarios pa las reglas del ipt.
Tarpit sustituye a las reglas q le pongamos de politica drop, y en vez de tirar los packets deja abierta la conexion pero en un estado inválido

Adds a TARPIT target to iptables, which captures and holds incoming TCP
connections using no local per-connection resources.  Connections are
accepted, but immediately switched to the persist state (0 byte window), in
which the remote side stops sending data and asks to continue every 60-240
seconds.  Attempts to close the connection are ignored, forcing the remote
side to time out the connection in 12-24 minutes.

This offers similar functionality to LaBrea
<http://www.hackbusters.net/LaBrea/> but doesn't require dedicated hardware
or IPs.  Any TCP port that you would normally DROP or REJECT can instead
become a tarpit.

http://www.lowth.com/howto/iptables-treasures.php
http://www.howforge.com/how-to-install-patch-o-matic-in-ubuntu
http://www.linuxjournal.com/node/7180/print

No tiene nada que ver, pero si consigues crackear la wifi y te conectas a la web a vermiip ahi t saldra... no se si t vale eso xD

Ooook, parece q es problem de los drivers, tgo precisamente el d fabrica pa la ath9k
Si tengo tiempo hare pruebas con los otros drivers q sugieren ahi:

forums.eeebuntu.org/viewtopic.php?f=45&t=5526&p=27428

Yo tranquilo estoy, solo que me gusta adquirir conocimientos.
Pero vamos a ver, en cualquier sitio puedes ver en google, o bien en la web de fabricante de tu bios q puedes actualizarla (pq en windows normalmente el usuario tiene todos los privilegios) desde el SO; entonces un malware q tenga acceso a nivel de root puede hacerlo, esa es mi conclusion.
Ah, y aunque no sepas ingles, esta sangoogletraslate

Eternamente agradecido, así da gusto. Espero poder aportar a la comunidad proximamente
Me asalta una, espero q última cuestión. tengo dos bios que no traen la opcion de la proteccion, en algun paper desos pone q la contraseña le añade un nivel de seguridad, pero visto que se puede actualizar desde el SO la bios, me parece q ponerle pass de admin no ayuda pal tema, me equivoco?

Muchas Gracias por tu time y los links, me los estudiaré.
Pero asi de primeras dice que hace falta acceso físico a la máquina y privilegios. Como que son articulos de hace unos años, porque las actualizaciones de bios las hay q funcionan desde el windoze.
Coño, que se me habia pasao el flash protect, esperate q reinicio y ahora welvo. xDD
Saludos.

PD.: El ultimo enlace no me tira? el de la con

Creo q el autoexeC.bat no se usa desde el win98, esta en c:\ puedes cambiarlo por tu .bat
Que tiempos aquellos.

El registro es el nido actual, si. xd

Aviso: paja mental de pregunta...
El topic es la pregunta, no quiero saber el como, pq no lo comprendería, pero me gustaria q algun gurú me dijera si es posible, al menos teóricamente, infectar una bios con código malicioso, q afecte a un determinado SO; de modo q al reinstalarlo limpio este se vuelva  a infectar incluso aislandolo del exterior durante su reinstalacion.
¿Es decir, se puede almacenar (esto creo q si) código en la bios y despues q este código se dispare desde la bios al SO (marcando por ejemplo alguna parte del hardware como no actualizado, y desde ahí, por programacion de drivers...)?
¿Estoy viendo demasiadas pelis de hackers ultimamente, quizá? xD