Vbootkit 2.0 - bootkit a Windows 7-hez

Microsoft, Windows

2007-ben Federico Biancuzzi egy interjút készített "0wning Vista from the boot" címmel a SecurityFocus hasábjain Nitin Kumar-ral és Vipin Kumar-ral, akik akkor a "VBootkit" névre hallgató bootkit-jükről adtak bővebb tájékoztatást. A két szakember most bemutatta a bootkit 2.0-s, sokkal fejlettebb, Windows 7-hez illesztett verzióját az Dubai-ban megrendezett Hack In The Box biztonsági konferencián.

A bootkit érdekessége, hogy úgy avatkozik be a Windows 7 boot folyamatába, hogy a merevlemezt érintetlenül hagyja, csak a memóriában "dolgozik" és a gép újraindítása után eltűnik, így a detektálása nem egyszerű feladat.

A fejlesztők leírása szerint a bootkit egy olyan rootkit, amely képes betöltődni a boot szektorokból (master boot record, CD , PXE , flopppy-k, stb.) és perzisztensen a memóriában van a védett módra váltás és az operációs rendszer elindulása folyamán.

Ez a videó még a Vista verziót demózza.

Hogy mire használható a Vbootkit? Noha az aktiválásához fizikailag hozzá kell férni az áldozat rendszeréhez (bár az interjúban a készítők céloztak arra, hogy a korábbi verziónál bizonyos feltételek teljesülése esetén akár távolról is aktiválható a célrendszeren), az élesítés után távolról lehet vezérelni az áldozat rendszerét, lehetővé teszi a támadó számára a privilégiumszintjének "system" (lehető legmagasabb) szintre való kiterjesztését, képes a felhasználói jelszó eltávolítására, majd ugyanannak a jelszónak a visszaállítására. De mivel a régebbi verzió felhasználható volt az OS termékaktiválás megkerülésére is, nem kizárt, hogy az 2.0-s verzió ezt is tudja.

A szakértők a következőképpen nyilatkoztak a dologról:

"There's no fix for this. It cannot be fixed. It's a design problem," - azaz, "Nincs javítás erre. Nem lehet javítani. Ez tervezési probléma,".

A részletek itt olvashatók.

( Toma_ | 2009. 04. 24., p – 15:03 )

Ez milyen marhaság már? Nyilván jellemzően az MBR-ből indul a rendszer, az MBR-t meg nem egy nagyon bonyesz dolog megnézni, akár összehasonlító elemzéssel sem adott rendszeren, hogy tartalmaz-e eltérő tartalmat a system defaulthoz képest. Akkor mi az, h nem lehet javítani?
Visszaírja magát leállításkor? Akkor is meg lehet nézni, hogy eltérő/fertőzött-e, és esetleg pl. bootcd-s módszerrel megoldható. Vagy mi van?

Nem olyan nagy marhaság ez...
A készítők lehet hogy láttak annak idején Deskview/X-et...:)
Esetleg ott is voltak az élőhalott kódbázisok éjszakáján,
néhány lemezt ők is hazavittek, és azóta tudják,
hogyan lehet a Windows-t hardveresen virtualizálva
orránál fogva vezetni...
-
"Attempting to crack SpeedLock can damage your sanity"

akkor nem hagy semmi nyomot a lemezen, ha pl PXE;USB;STB -rol bebootoltatod a bootkitet, az pedig tovabbootol a vinyorol.
Az eredeti cikk arrol szolt hogy egy pendriverol betoltodik a bootkit, es tovabb bootolja a vistat, a folyamat soran a vista bootkodjat patchelve, es a boot folyamatot tulelve.

( jbworld v | 2009. 04. 24., p – 16:28 )

Az ellen nincs védelem ha valaki fizikailag hozzáfér a géphez...

+1

10 Immutable Laws of Security

Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore
Law #2: If a bad guy can alter the operating system on your computer, it's not your computer anymore
Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore
Law #4: If you allow a bad guy to upload programs to your website, it's not your website any more
Law #5: Weak passwords trump strong security
Law #6: A computer is only as secure as the administrator is trustworthy
Law #7: Encrypted data is only as secure as the decryption key
Law #8: An out of date virus scanner is only marginally better than no virus scanner at all
Law #9: Absolute anonymity isn't practical, in real life or on the Web
Law #10: Technology is not a panacea

forrás: http://technet.microsoft.com/en-us/library/cc722487.aspx

Üdv,
mrceeka

( mjanee | 2009. 04. 24., p – 16:38 )

Szerintem erre a gondra jelenthet megoldást az újabban terjedő mini linux OS-ek amit a bios mellé integrálnak, mint pl az asus EEE Pc-k esetében. Mivel elméletileg az nem a merevlemezről indul, oda integrálhatnának valami ilyen célú ellenőrző funkciót. De ez csak 1 tipp :D

( takemeaw | 2009. 04. 24., p – 17:05 )

"A fejlesztők leírása szerint a bootkit egy olyan rootkit, amely képes betöltődni a boot szektorokból (master boot record, CD , PXE , flopppy-k, stb.) és perzisztensen a memóriában van a védett módra váltás és az operációs rendszer elindulása folyamán."

dd if=/dev/sda of=mbr.bin bs=512 count=1
od -xa mbr.bin

ide aztan telleg eleg komoly dolgot el lehet rejteni

vagy esetleg nem az mbrbe kerul a kod -gyanitom ez utobbi-

--
.

nohat beleolvasva az eredeti angol -nem hupositott bulvar verzioba-

Is it small enough to fit inside BIOS flash memory?

Nitin & Vipin: Definitely, It's just about 1500 bytes in size. It can be reduced further. Todays BIOSes are big in size, therefore, it can easily hide in there.

How does vbootkit work?

Nitin & Vipin: A small summary: BIOS --> Vbootkit code(from CD,PXE etc.) --> MBR --> NT Boot sector --> Windows Boot manager --> Windows Loader --> Vista Kernel.

Just after vbootkit takes control, it hijacks the interrupt 13, then searches for Signature for Vista OS. After detecting Vista, it starts patching Vista, meanwhile hiding itself (in smaller chunks at different memory locations). The patches includes bypassing several protections such as checksum, digital signature verification etc, and takes steps to keep itself in control, while boot process continues to phase 2.

nocsak nocsak
--
.

A szerzők szájából:

"A bootkit is a rootkit that is able to load from a boot-sectors (master boot record, CD , PXE , floppies etc) and persist in memory all the way through the transition to protected mode and the startup of the OS."

Lefordítanád? Csak hogy javítani tudjam a problémás részt.

Köszi!

--
trey @ gépház

Ha ti akkor ennyire vágjátok a témát, akkor magyarázzátok már el, h hogyan műxik a cucc, mer állítólag az MBR-ből indul, ami nagy jóindulattal is 512 byte, amiből nyilván jó sok lejön még, mert működnie is illik. Tegyük fel, h marad 300 byte.
Abba hogyan fér be 1500 byte?
Windows 7-ről van szó. Mi az, hogy bootfloppy-bootCD-usbizé, ne röhögtessetek már...
A csávók beszélnek róla, hogy a BIOS-ban van hely eltárolni a cuccot, de hogyan kerül bele? Odamegy valaki a géphez, és épp van nála olyan fertőzött BIOS-os izé pont ahhoz a laphoz és frissít, vagy ráveszik valahogy az r=1-et, hogy frissítse a BIOS-t?
Ha meg a BIOS-ban dugják el, akkor hogy a túróban van az, hogy a videón választ indulási módot a csávó a bootmenüből, ami már rég túl van az MBR-en is, miközben nincs a HDD-n semmi állításuk szerint...?
És ha a BIOS-ban van, akkor mi az megintcsak, hogy a "szakértők" szerint nem lehet javítani. Mit?
Magyarázza már el valaki plíz, mert nekem ez latin.
Köszke...

a bootsector 512 byte, az MBR az eppen arra valo, hogy ne 512 byteba kelljen beleszuszmakolni a bootloadert.
A bootfloppy/cd/ize az arrol szol hogy teljesen mindegy mirol inditod, _sot_ akar biosbol is bootolhatod. A ne rohogtessetek mar stilusu megnyilvanulasodbol pedig csak a stilustalansag sut.
A hogy kerul bele a biosba az megint egy masik problema. Teoretikusan ha bebootolsz akarmirol, akkor kiolvashatod a biost, megkeresheted hol van benne a 'na, akkor bootoljunk' resz, es az ele automatikusan beirhatod magad. Ennek a cikk temajanak ez nem resze, aki ilyet akar hasznalni, az megoldja hogy bekeruljon a biosba.
A nem lehet javitani pedig azt jelenti, hogy hiaba valtoztatnak akarmit, a hiba jellege mindig is fent fog allni, mert tervezesi hiba, nem implementalasi.

( dawe | 2009. 04. 24., p – 21:02 )

Ha fizikailag hozzáférnek a géphez, akkor azellen semmilyen oprendszer nem védett, a linux se. Most épp az új Windows-okhoz készült bootkitről van szó, de kb. ugyanakkora munka lenne bármilyen más oprendszerhez elkészíteni...

( rhapsodhy | 2009. 04. 25., szo – 00:37 )

nekem először pl. az jutott eszembe, hogy ez kell :) szerintem tök hasznos lenne távoli elérésre,pl. persze ha éppen windows fut, és nem linux, de hát, ha odaérek, hogy ilyen problémáim lesznek, hogy távolról el kell érni, és azt csinálni vele, amit akarok, akkor majd úgyis kiderül...