Birus-ы. Часть третья.

Антивирусы не панацея, и свежие (или старые но свежекриптованные) трояны/черви практически никогда не определяются их эвристиком - факт. Почему я выбрал для примера троянов/червей - потому, что подавляющее большинство их пишется не студентами-исследователями, а профессионалами, продающими потом ботнеты за немалые деньги, либо - пользующими ботнеты для спам-рассылок.

По части теоретической возможности реализации бируса - я здесь проблем не вижу. Единственное, что пока (возможно) нереализовано - собссно взаимодействие из SMM с ядром оси, но, думается, это не есть невозможной задачей. Хотя и достаточно сложно само по себе. В принципе получить физ. адреса расположения ядра и драйверов системы (хотя бы приблизительно) - несложно (из IDT к примеру, да и в GDT под ядро отведены отдельные дескрипторы - но что-либо твердо утверждать не буду т.к. в ядре винды не копался), подправить системные структуры, создав новый процесс или драйвер "на лету" - думается, тоже реально. + возможен вариант инжекта кода (потока) в какой-то системный процесс - все-таки SMM имеет привилегии несколько выше, чем привилегии ring0

+ от обнаружения антивирусом, даже при наличии оверлея на жестком диске (если бирус выйдет сильно жирным), спасет фильтрование обращений к портам IDE/SATA контроллера - что в SMM тоже реализуемо.

Собссно отсюда и выводы... Ждем появления первого представителя в "дикой природе"...

P.S. кстати, для параноиков ИМХО есть простой вариант хоть как-то подстраховаться - включить в свой биос какой-то ничего не делающий модуль, который бы занял все свободное место, и имитировал критичный модуль. Не думаю, что в бирусах будут реализовывать анализ и удаление модулей - во всяком случае, в первых представителях... Поскольку сильно заметно (у пользователя "вдруг" отвалился рэйд - ессно биос будет перешит тут же), + достаточно сложно определить, что же действительно излишне.

Тогда вопрос - как ему попасть в SMM? Через ring0?

Чет так стремно все описывают. Тупо взял программатор вытощил (выпаял falsh), перепрошил и хана бирусу)

Тупо?

Я достаю из широких штанин
Дубликатом бесценного груза.
Нет, не паспорт.
Я достаю кольт программатор,
Покрытый пылью дальних дорог.
И с наслаждением расстреливаю
Бирусы пачками.



(с) Покорение Дикого Запада

Программатор это хорошо, но:
на большинстве современных плат микросхема припаяна, имеет корпус SO-8 и интерфейс SPI

На некоторых платах есть разъём ISP SPI ..через него можно прошить Flash, на некоторых он разведён, но не припаян...что хуже, но излечимо.....на многих его просто нету.

"С того момента, когда обновление Биос сделали через веб, многие задумались"
====
те, кто задумывается, ставят проксю на шнурке, а за проксю убирают всё, на чём могут размножаться вирусы, бирусы, фигирусы...
любые две разнородные системы с анализатором трафика всегда спасали и спасают по сей день отцов (реальных отцов, а не пыонэроф, начитавшихся журнала <хакер> и бюллетеней MS) русской, и не только, демократии.
а ежели у вас везде винда, да никто логи не анализирует - ну, пишите тогда антивирусы, антибирусы, времени то у вас много...

"те, кто задумывается, ставят проксю на шнурке, а за проксю убирают всё, на чём могут размножаться вирусы, бирусы, фигирусы..."
====
А вы о модных технологиях защиты ноутбуков от кражи почитайте - почти каждый производитель уже что-то похожее сваял... так что к проксе еще "железную комнату" добавьте)

после прочтения возник вопрос по поводу следующего случая:
знакомым был пойман баннер который не удалился после форматирования даже ВСЕХ HDD !
куда он влез? нулевые треки? БИОС?

Всякий раз, когда читаю мнение этого бывалого анализатора логов, рука тянется к клавиатура, но я ее в страхе одергиваю: ведь понятно же, что он сказал, как отрезал!

Имею ноутбук,захотел в нем поменять видеокарту,конструкция позволяет.Поменял.При загрузке машины ноут делал тайм-аут в 30 секунд и каждую секунду пищал динамик. Очень раздражало...Порыскал в интернете,и оказалось,что это предупреждение от видеокарты(!) о том,что железо на мамке может потенциально быть несовместимым с видеокартой. К счастью,все совместилось и работает,как надо.Но пауза и звук!Надо было бороться.
Решение состояло из двух частей - заменить в видеобиосе запись в порт таймера на 90 90 и изменить байт 1Е на 01,соответственно,счетчик не 30 секунд держит,а только одну. С помощью распространенной утилиты скорректирована контрольная сумма видеобиоса,перезаписано и все!
К чему такой долгий рассказ вроде не в теме?А к тому,что все это проделывается на коленке пользователями,очень поверхностно знакомыми с программированием,железом и т.д. И если я на специализированном форуме,посвященном конкретной модели ноутбука, выложу "исправленный" вариант биоса с хитрыми вложениями,учитывающими особенности программирования-функционирования конкретного ноутбука,а детали легко вынимаются из официальной прошивки с сайта производителя,то в широкий невод попадет масса поверивших в панацею, желающих убрать писк при старте,повысить частоты,изменить логотип-поменять надпись при старте и т.д.

Да я вроде и не возмущался(или?)...И не собирался ничего такого выкладывать - все просто в качестве примера.Я и написать то такого не смогу,и не хотел бы(это я оправдываюсь,извините).
У многих сама постановка вопроса(и не только на Вашем форуме) вызывает недоумение - как?зачем?кому это надо?это не возможно и т.д. А я просто хотел сказать, что все описанное - вовсе не страшилки,а вполне посильная задача для "просто хулиганов" и "злобных хакеров".
Кстати,один из блоггеров(dogber1) в интернете повыкладывал утилиты для генерирования инженерных паролей на биос,все программы и исходные коды созданы на основе GNU.После распространения в сети его "изделий" он написал подборку советов для производителей оборудования - как стоило бы улучшить и обезопасить процедуру разблокирования ноутбуков,гарантируя недоступность разлочки для воров и покупателей краденного.
Может,и здесь в обсуждениях родятся мысли и рекомендации,как избежать неприятностей в будущем.

Время "просто хулиганов" и "злобных хакеров" прошло. Настало время прагматиков и обладателей кредитных карт. Иногда это характеристика одного и того же человека. Иногда — разных.

Однако в тему.
ithappens.ru/story/4399

И ведь все это реально.

Я с огромным удовольствием прочитал статью 1-ю, 2-ю и 3-ю части. приятно удивляет хумор местных обитателей

а ежели у вас везде винда, да никто логи не анализирует - ну, пишите тогда антивирусы, антибирусы, времени то у вас много...

Всякий раз, когда читаю мнение этого бывалого анализатора логов, рука тянется к клавиатура, но я ее в страхе одергиваю: ведь понятно же, что он сказал, как отрезал!. Беззлобно и приятно.
Раньше думал над этой проблемой. Даже скорее так: ломал голову. И наломал. Перестал думать об этом. Однако не совсем.
ПРОЛОГ: По роду своей деятельности я в чудеса не верю, зато верю в кривые руки, тупые головы, злобное варварство и бесстыдное враньё. Не нужно напрягаться, если вы не из числа моих нелюбимых клиентов. Но даже если и так, забудьте на минуту об этом и расслабьтесь, а я поведаю вам сказочку.
Жила-была мелкомягкая контора МС, которая клепала софт и обновления и жизнь этой конторы была налажена и даже самые страшные грозовые тучи не могли преодолеть гор из банкнот, которые забашляли юзеры этой конторе за время своей безрадостной жизни, связанной с вышеупомянутым софтом. Софт становился всё "круче" и неуправляемее, контора - всё богаче, а юзеры - злее и тупее.
А дальше - жестокая проза - во время обновления О.С. "ОКНА 7" и "висты" часть ноутбуков безвременно отдавала концы с диагнозом - не вкл. Прошивка на программаторе излечивала часть этих бедолаг. Анализ биосов показал, что в те части биос, котоые прежде не были заняты программами и шрифтами была добавлена информация. Мало того, анализ биосов, снятых с различных ПК выявил существенные отличия от оригиналов, выложенных производителями на оф. сайтах. Конечно, идея подобного "всемирного жидомасонского заговора" не нова, пока что не имеет под собой особых оснований и требует проведения доказательных экспериментов. Но существование лёгких и незаметных способов софтового манипулирования прошивкой (а будучи подаваемыми под определённым "соусом", в глазах среднего пользователя - даже полезных), сомнению не подлежит.
ЭПИЛОГ: Глядя на гигабайты "убитых" файрволлом пакетов, сотни и даже тысячи отклонённых защитой рутера попыток связи ПК неизвестно с кем по всем доступным протоколам наводят на грустные мысли. При этом "интернет работает", ничего не тормозит. Страшно, если враг уже прошёл через защиту, невидим, неуязвим, опасен.

Насчёт масонских заговоров, на нынешнем витке технологий - на этот вопрос ответить определённо будет уже намного сложнее, и скорее даже невозможно! Не забываем что сейчас встраивают в чипсеты современных ПК!

Ребята, закрыли бы вы тему. Или унесли бы в анпаблик.