Hackito: Injetando Malware no Hardware

Foi publicado em larga escala que um time com os melhores engenheiros de software do mundo levou anos para criar os malwares Stuxnet e Flame, ironicamente entretanto, apenas uma pessoa levou 4 semanas para criar um código que coloca os dois malwares alí no chinelo!

Johan Brossard, researcher da Toucan System, recentemente desenvolveu uma backdoor para hardware que nos dá por agora uma pequena ideia do imenso potencial de exploração que este tipo de técnica pode proporcionar. Utilizando em sua maioria códigos open source, ele desenvolveu uma backdoor que pode ser injetada diretamente na BIOS através de PCI peripheral injection ou um upgrade padrão de BIOS – ou pior, durante o processo de linha de montagem – e uma vez instalada pode efetuar conexões para um Command Center e automaticamente capturar e executar payloads maliciosos através de Wifi/Wimax ou pacotes Ethernet (inclusive sobre HTTPS).

Isto não é tudo, e o que está por vir podemos apenas imaginar. Uma vez que os payloads são executados via BIOS diretamente na memória, isto permite que as maiores e melhores proteções existentes via Hardware/Software sejam desabilitadas.  Entre algumas das possibilidades que este tipo de approach fornece, podemos citar os seguintes:
– Bypass TPM/UEFI (Hardware/Signature Protection)
– Remoção do NX bit em hardware/software  (Heap/Stack Protection)
– Possibilidade de desabilitar o ALSR  (Memory Randomization Protection)
– Permite escrever diretamente no  Ring 0 (Kernel Memory Space Writes)
– Desabilitar CPU microcode updates (Code Execution Updates)
– Remover anti-SMM projection (Hardware Debug Management)
– Tornar TrueCrypt e BitLocker obsoletos (Password/Key Extraction)

e para finalizar:
– Completamente escalável, furtivo e suporta 230 modelos de placa mãe :D

Abaixo segue o link com o video da apresentação feita na DEFCON 20:

Hackito

[fb_like] [fb_count]

Advertisements

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s