Mourgolikos Δημοσ. 19 Μαρτίου 2009 Δημοσ. 19 Μαρτίου 2009 Σήμερα διάβασα ένα άρθρο εδώ, www.networkworld.com/community/node/39825?t51hb όπου λέει πως συμβαίνει αυτό σε όλους του επεξεργαστές intel από τον Intel 386 και μετά. Από ότι κατάλαβα τα rootkits χρησιμοποιούν την cache του επεξεργαστή για να δουλέψουν, κάτι που είναι πέρα από τα όρια ελέγχου του λειτουργικού και στην ουσία κάνει άτρωτο το rootkit! Δεν ξέρω αν μπορεί να συμβεί και στους x86 της AMD. Το postαρα εδώ γιατί είναι πολύ σοβαρό και πρέπει κάπως να ξυπνήσει η Intel. Δεν έκανα το topic για flame και συγκρίσεις, απλώς ήθελα να ενημερώσω κάπως..
Moderators Gi0 Δημοσ. 19 Μαρτίου 2009 Moderators Δημοσ. 19 Μαρτίου 2009 Σήμερα διάβασα ένα άρθρο εδώ,www.networkworld.com/community/node/39825?t51hb όπου λέει πως συμβαίνει αυτό σε όλους του επεξεργαστές intel από τον Intel 386 και μετά. Από ότι κατάλαβα τα rootkits χρησιμοποιούν την cache του επεξεργαστή για να δουλέψουν, κάτι που είναι πέρα από τα όρια ελέγχου του λειτουργικού και στην ουσία κάνει άτρωτο το rootkit! Στο παρακατω αθρο λεει επισης για τα SMM rootkits (http://wwww.networkworld.com/news/2008/050908-black-hat-hackers-find-a.html?page=2) Being divorced from the operating system makes the SMM rootkit stealthy, but it also means that hackers have to write this driver code expressly for the system they are attacking. Δεν εχω το τεχνικο backround για το ολο θεμα και απλα αναφερω αυτα που διαβαζω.Απ οτι λεει,δεν θα προκειται για rootkit που θα κανει βολτες στο δικο μου και στο δικο σου pc,αλλα θα χρησιμοποιειται επιλεκτικα σε στοχους για τους οποιους αξιζει ο κοπος. Δεν ξέρω αν μπορεί να συμβεί και στους x86 της AMD. Απ οτι φαινεται οχι,αλλα και το bluepill ειχε εφαρμογη μονο στους amd στην αρχη και στην συνεχεια εκανε την βολτα του και στους intel.Βεβαια εκει ειχε σχεση με το virtualization και οχι με την cache. Το postαρα εδώ γιατί είναι πολύ σοβαρό και πρέπει κάπως να ξυπνήσει η Intel. Δεν νομιζω πως θα τρεξει κιολας,καθως οπως λεει η Joanna στο blog της In fact, the first mention of the possible attack using caching for compromising SMM has been discussed in certain documents authored as early as the end of 2005 (!) by nobody else than... Intel's own employees Θα χει ενδιαφερον παντως να δουμε τι εχει να πει αυριο(..και να καταλαβουμε)
Mourgolikos Δημοσ. 19 Μαρτίου 2009 Μέλος Δημοσ. 19 Μαρτίου 2009 Ένας ακόμα λόγος που το ανάρτησα εδώ είναι μπας και βρούμε καλό και έλληνα μεταφραστή Το θέμα είναι πως και να έγινε κάποιος κοινός χρήστης στόχος δεν θα το καταλάβει ποτέ. (έστω για το fun και για πείραμα) Θα μου κλέψουν τα παιχνίδια και τα mp3 μου! Μπορεί και την πτυχιακή μου εργασία και να την παρουσιάσουν για δική τους! Βρε λες έτσι να διέρρευσαν τα windows από την microsoft;(πλάκα κάνω) Ϡ<<<<Να το κρυμμένο rootkit!!!
Moderators Gi0 Δημοσ. 19 Μαρτίου 2009 Moderators Δημοσ. 19 Μαρτίου 2009 Ένας ακόμα λόγος που το ανάρτησα εδώ είναι μπας και βρούμε καλό και έλληνα μεταφραστή Mωρε δεν ειναι η μεταφραση που μας απασχολει,τα τεχνικα ειναι που δεν θα ναι ευκολοπεπτα Το θέμα είναι πως και να έγινε κάποιος κοινός χρήστης στόχος δεν θα το καταλάβει ποτέ. Οποτε θα συνεχισω να υπερηφανευομαι περιχαρης πως το antivirus που εχω επιλεξει ειναι 100% απροσπελαστο Ουτε γατα ουτε ζημια(?). Βρε λες έτσι να διέρρευσαν τα windows από την microsoft; Ειπαμε συνωμοσιες,αλλα το μαμησες (προφανως απανταω στο ιδιο πνευμα)
PCharon Δημοσ. 19 Μαρτίου 2009 Δημοσ. 19 Μαρτίου 2009 Οποτε θα συνεχισω να υπερηφανευομαι περιχαρης πως το antivirus που εχω επιλεξει ειναι 100% απροσπελαστο Αυτό δεν συνέβη ποτέ και ούτε πρόκειται να συμβεί γι άλλους λόγους. Με τα firewall κάτι πάει κι έρχεται, αλλά και πάλι...
Moderators Gi0 Δημοσ. 19 Μαρτίου 2009 Moderators Δημοσ. 19 Μαρτίου 2009 Αυτό δεν συνέβη ποτέ και ούτε πρόκειται να συμβεί γι άλλους λόγους.Με τα firewall κάτι πάει κι έρχεται, αλλά και πάλι... Ειρωνικο ηταν το υφος μου,εξου και το και το ? στο τελος της προτασης.Δεν νομιζω πως υπαρχει καποιος που πιστευει πως ειναι ατρωτος με ενα antivirus.Γενικα ελπζω να μην υπαρχει κανεις με pc(mac κλπ) που νομιζει πως ειναι ατρωτος.
PCharon Δημοσ. 19 Μαρτίου 2009 Δημοσ. 19 Μαρτίου 2009 ΟΚ, δεν πήρα χαμπάρι. Αλλά ας είναι, για να το βλέπουν κι άλλοι.
Moderators Gi0 Δημοσ. 19 Μαρτίου 2009 Moderators Δημοσ. 19 Μαρτίου 2009 ΟΚ.Αφου διαβασα το paper δεν μπορω να πω πως εχω 100% επιγνωση οσων λεει αλλα εχω 1-2 παρατηρησεις επι του θεματος. Στο paper λεει Below we describe how to exploit cache poisoning to get access to the SMRAM memory. We assume that the attacker has access to certain platform MSR registers. In practice this is equivalent to the attacker having administrator privileges on the target system, and on some systems, like e.g. Windows, also the ability to load and execute arbitrary kernel code. Αν ο attacker εχει τετοια ικανοτητα γιατι το συζηταμε το θεμα?Μπορει να κανει οτι του καπνισει.Το ζητημα ειναι πως το implementation του συγκεκριμενου exploit μπορει να οδηγησει σε rootkit που να μην ανιχνευτει ποτε μα ποτε? Απ οτι φαινεται πολυ hype και παλι με την απορια θα μεινουμε,οπως και με το περιφημο blue pill. Οπως ειπα και χτες,απ οτι φαινεται ειναι πολυ target specific το exploit.Απ οτι λεει στο τελος του paper Note the exploit has several hard-coded constants that likely will need to be adjusted for systems other than DQ35 with 2 GB of RAM. Δηλαδη για το συστημα μου με μια asus maximus II και 4 gb ram θα χρειαστουν πιθανοτατα αλλες παραμετροι.Αν εχω 1gb ram?Αλλες παλι?Aπ οτι φαινεται παλι πολυ ντορος εγινε αλλα παλι με την απορια θα μεινουμε,οπως και με το blue pill.
Mourgolikos Δημοσ. 20 Μαρτίου 2009 Μέλος Δημοσ. 20 Μαρτίου 2009 Ναι φαίνεται πολύ δύσκολο να χτυπήσει πολλούς στόχους. Το θέμα είναι πως είναι ακόμα στην "αρχή" αυτή η "έρευνά" τους, όπως φαίνεται από τα όσα λένε. Ο "τρόπος" στα χέρια κάποιου ικανού και ξεχασμένου από την ζωή θα μπορούσε να προκαλέσει πραγματική απειλή. Καθώς κάλλιστα μπορούν να βγουν διάφορες, συμβατές με πολλά συστήματα, εκδόσεις, ή έστω να "γράψουν" και τον τρόπο αυτο-παραμετροποίησης. Ακούγεται τραβηγμένο και απίθανο, αλλά ποτέ μην λες ποτέ... Όσο για τα administrator privileges, δεν νομίζω πολλοί από εμάς να μπαίνουμε στα windows μας ως περιορισμένοι χρήστες. Αυτό το ότι θα πρέπει να τρέξει κάποιο κώδικα στο kernel ίσως δίνει μια πιθανότητα στα antivirus να κάνουν κάτι πριν είναι αργά, αλλά σίγουρα ο επικίνδυνος κώδικας θα είναι κρυπτογραφημένος και πολυμορφικός, δεν θα είναι δύσκολο κάτι τέτοιο για τέτοια μυαλά!
Moderators Gi0 Δημοσ. 20 Μαρτίου 2009 Moderators Δημοσ. 20 Μαρτίου 2009 Καθώς κάλλιστα μπορούν να βγουν διάφορες, συμβατές με πολλά συστήματα, εκδόσεις, ή έστω να "γράψουν" και τον τρόπο αυτο-παραμετροποίησης. Ακούγεται τραβηγμένο και απίθανο, αλλά ποτέ μην λες ποτέ... Σιγουρα μην λες ποτε,αλλα παραειναι πολλοι οι συνδιασμοι..Μητρικες με τρεχαγυρευε ποσοτητες μνημης(..αν ειναι"μονο"αυτες οι παραμετροι) Όσο για τα administrator privileges, δεν νομίζω πολλοί από εμάς να μπαίνουμε στα windows μας ως περιορισμένοι χρήστες. Δεκτο.Αλλα θα ξαναρωτησω Αν ο attacker εχει τετοια ικανοτητα γιατι το συζηταμε το θεμα?Μπορει να κανει οτι του καπνισει. Αν εχει ηδη administrative priviliges γιατι να κοπιασει κ αλλο?Κ αν κοπιασει κ αλλο σιγουρα δεν θα το κανει για να προσθεσει απλα το δικο μου pc στο botnet του.Αυτο μπορει να το κανει και μονο με τα administrative priviliges που θα χει αποκτησει στο συστημα μου. Αυτό το ότι θα πρέπει να τρέξει κάποιο κώδικα στο kernel ίσως δίνει μια πιθανότητα στα antivirus Οσον αφορα τα χ64 bit windows συστηματα δεν εχει σχεση τοσο με τα antivirus αλλα με το patchguard(kernel patch protection) το οποιο απ οτι φαινεται ειναι αρκετα δυσκολο να προσπελαστει(φυσικα οχι ακατορθωτο).Για να αποκτησεις kernel patch priviliges σιγουρα θελει πολυ κοπο και ξανα,αναρωτιεμαι για πιο λογο να ιδρωσεις τοσο,οταν εχεις ηδη administrative priviliges. http://en.wikipedia.org/wiki/Kernel_Patch_Protection Παντως δεν νομιζω πως η intel θα ειχε επιγνωση απο του ιδιους μαλιστα τους εργαζομενους της πως το συγκεκριμενο exploit θα μπορουσε να οδηγησει σε rootkit ευρεας διαδοσης απο το 2005 και θα καθοταν με σταυρωμενα χερια.
Moderators Gi0 Δημοσ. 23 Μαρτίου 2009 Moderators Δημοσ. 23 Μαρτίου 2009 Και οπως φαινεται οι υποθεσεις που εκανα πιο πανω ισχυουν.Απο το blog της Joanna SMM rootkits sound sexy, but, frankly, the bad guys are doing just fine using traditional kernel mode malware (due to the fact that A/V is not effective). Of course, SMM rootkits are just yet another annoyance for the traditional A/V programs, which is good, but they might not be the most important consequence of SMM attacks. So, should the average Joe Dow care about our SMM attacks? Absolutely not! http://theinvisiblethings.blogspot.com/2009/03/sky-is-falling.html
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.