»сследователь создал руткит дл€ Ethernet-адаптеров

image

“еги: руткит, безопасность

√ийом ƒелурье, специалист по реверс-инжинирингу из французской компании Sogeti ESEC, смог разработать руткит, который позвол€ет мен€ть содержимое прошивки в сетевых адаптерах.

√ийом ƒелурье, специалист по реверс-инжинирингу из французской компании Sogeti ESEC, смог разработать руткит, который позвол€ет мен€ть содержимое прошивки в сетевых адаптерах.ќсновой дл€ работы ƒелурье стало изучение прошивки в сетевых PCI-адаптерах компании Broadcom серии Ethernet NetExtreme.

ƒелурье в своей работе использовал публично доступную документацию и инструменты с открытым исходным кодом. ¬ ходе своих исследований ему удалось раскрыть формат, который используетс€ дл€ хранени€ данных в посто€нной EEPROM-пам€ти адаптера, а также проследить весь процесс начальной загрузки. »спользу€ собранные сведени€, ƒелурье разработал макет модифицированной прошивки и смог поместить ее в пам€ть адаптера. ¬ результате созданный код стал работать на процессоре адаптера.

—тоит отметить, что открытие ƒелурье открывает совершенно новые возможности дл€ злоумышленников. Ќапример, такой руткит не обнаруживаетс€ в операционной системе, поскольку спр€тан в недрах сетевого адаптера.

ƒелурье по€снил, что сетева€ карта нуждаетс€ в пр€мом доступе к пам€ти (DMA – Direct Memory Access), чтобы обеспечить обмен фреймами передаваемых по сети данных между драйвером и адаптером. C точки зрени€ прошивки, все операции выполн€ютс€ через специальные регистры сетевого процессора, причем некоторые из этих регистров не полностью документированы. ¬ итоге злоумышленник может удаленно подключитьс€ к модифицированному сетевому адаптеру, а затем получить доступ к ресурсам операционной системы через каналы DMA.


или введите им€

CAPTCHA
—траницы: 1  2  
dark
25-11-2010 10:05:35
интересно как скоро злоумышленники сами разработают код или уведут разработку? вообщем будем ждать развити€ событый
0 |
Ќеуч
25-11-2010 10:22:16
и смог поместить ее в пам€ть адаптера ‘изически через программатор. такой руткит не обнаруживаетс€ в операционной системе, поскольку спр€тан в недрах сетевого адаптера. удаленно подключитьс€ к модифицированному сетевому адаптеру ¬ любом, случае все телодвижени€ будут засвечены фаером.
0 |
√анс
25-11-2010 10:32:56
"будут засвечены фаером" - о, св€та€ наивность! ” теб€ FW, к примеру, логи DNS-запросов ведЄт? ќчень, очень шибко сомневаюсь.
0 |
Loki
25-11-2010 13:13:52
” теб€ FW, к примеру, логи DNS-запросов ведЄт? ќчень, очень шибко сомневаюсь.Ћично у мен€ ведЄт-в чЄм проблема?
0 |
26-11-2010 11:46:42
и ты их каждое утро просматриваешь под утренний кофе...
0 |
var
29-11-2010 13:46:55
некорректный вопрос был. днс - это уже айпи. дл€ спокойстви€ надо будет мониторить содержимое отдельных служебных пакетов - arp, syn, ack, hsrp, nbns вс€ких и т.п.
0 |
25-11-2010 14:39:23
¬ любом, случае все телодвижени€ будут засвечены фаером.Ёто как? ƒо операционки сигнал управлени€ не дойдет, иначе и затеватьс€ не стоило. ѕлата примет спецпакет и полезет в пам€ть, а драйверу ни гу-гу. ƒругое дело, что переписать микрокод можно только име€ физический доступ к машине.
0 |
Ќеуч
25-11-2010 18:59:59
–азве речь шла о "бредмауэре windows" и ему подобных?
0 |
√анс
25-11-2010 10:26:20
O'rly? ≈сли это одна из "жирных" сетевух баксов за 200, то там вообще-то почти стандартный линупс на борту стоит. Ќу, это одна из тех штучек, что к себе на желез€ку перетаскивает часть стека TCP/IP, чтоб компьютер разгрузить. ѕоэтому что-либо изменить там - не особа€ проблема, но массовых заражений это не вызовет - такие платы встречаютс€ одна из дес€ти тыс€ч портов, если не реже.
0 |
√анс
25-11-2010 10:38:56
ѕроверил - да, это оно и есть - линукс в желез€ке. ))) „то ж, привет линуксам ещЄ раз.
0 |
√ость
27-11-2010 09:17:48
“акие сетевухи на серверных материнках как правило сто€т.
0 |
doctor
25-11-2010 10:35:10
√анс ѕара магистралей Єкнетс€ - начнут шевелитьс€, в прочем как обычно
0 |
√анс
25-11-2010 10:41:36
Ќэ-нэ-нэ. “акие штуки обычно на серваках сто€т (им на десктопах делать нечего), а сервак вс€ко лучше охран€етс€, чем десктоп. Ќо эта зараза мне напоминает StuxNet ( http://malaya-zemlya.livejournal.com/600322.html ) - та же сама€ иде€ - заразить котроллер. ¬ общем...  √Ѕ-шники могут это использовать на всю катушку, при желании.
0 |
25-11-2010 11:59:58
ћда.. ганс даун..
0 |
¬ан€
25-11-2010 19:48:17
ѕрисоеден€юсь
0 |
¬ан€
25-11-2010 17:43:23
√оспода, “оже мне новость, да в каждом южном мосту у »Ќ“≈Ћј стоит по процессору ARC-4, собственна€ флеш-пам€ть, собственный независимый канал доступа к сети с наложенным VPN, и все его программы хран€тс€ в зашифрованном виде. Ќеверите, посмотрите выдержку из официальной документации »Ќ“≈Ћј в статье по виртуализации уже упом€нутого автора http://www.vmgu.ru/articles/tpm-virtualization-security ѕравда он сетовал на наличие работающей западной криптографии, но на скриншоте документации есть и упоминание о процессоре в южном мосте.
0 |
мыслитель
26-11-2010 22:21:28
¬ каждой третьей новости в комментари€х по€вл€етс€ эта ссылка. ‘акт наводит на мысли.
0 |
27-11-2010 05:41:58
«апоследнее врем€ в –уско€зычном »нтернете подобного серьезного материала не наблюдалось, этим, "мыслитель", и об€сн€ютс€ ссылки на него.
0 |
—траницы: 1  2