Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2025:ap53562 [2026/02/02 20:49]
Ante Petrović [Rootkiti i bootkiti] 		racfor_wiki:seminari2025:ap53562 [2026/02/02 21:23] (trenutno)
Ante Petrović [Zaključak]
Redak 26: Redak 26:
  
 ==== Prikrivanje ==== ==== Prikrivanje ====
-Malver koji se učita ispod razine operacijskog sustava može ostati nevidljiv tradicionalnim sigurnosnim alatima. Jedan od razloga je taj što se može izvršavati u privilegiranim modovima nedostupnima OS-u. Primjer takvog modusa je System Management Mode (SMM) na x86 arhitekturi – posebni način rada procesora (često nazivan "ring -2") u kojem se izvršava kod firmwarea za upravljanje sustavom. Kod u SMM-u nevidljiv je i nedostupan ostatku sustava (OS ne može čitati ni pisati SMM memoriju) [2], pa firmverski rootkit smješten u SMM-u može potpuno izbjeći nadzor antivirusnih programa koji rade na razini OS-a.+Malver koji se učita ispod razine operacijskog sustava može ostati nevidljiv tradicionalnim sigurnosnim alatima. Jedan od razloga je taj što se može izvršavati u privilegiranim modovima koji nisu dostupni OS-u. Primjer takvog nacina privilegiranja je System Management Mode (SMM) na x86 arhitekturi – posebni način rada procesora (često nazivan "ring -2") u kojem se izvršava kod firmwarea za upravljanje sustavom. Kod u SMM-u nevidljiv je i nedostupan ostatku sustava (OS ne može čitati ni pisati SMM memoriju) [2], pa firmverski rootkit smješten u SMM-u može potpuno izbjeći nadzor antivirusnih programa koji rade na razini OS-a.
  
-Osim oslanjanja na privilegirane razine izvršavanja, rootkiti koriste i klasične metode prikrivanja unutar samog operacijskog sustava. To postižu ubacivanjem zlonamjernog koda koji patchira ili hooka legitimne funkcije. Na taj način rootkit može presresti pozive kojima bi se njegov kod otkrio i umjesto toga prikazivati lažne informacije sustavu. Primjerice, malver Mebromi nakon infekcije BIOS-a instalira kernel driver u Windows sustavu (my.sys) koji preusmjerava funkcije za čitanje i pisanje diska te tako skriva izmijenjeni MBR i druge tragove infekcije od antivirusnih alata [4]. Općenito, firmverski rootkit može modificirati strukture OS-a (npr. listu procesa, datotečni sustav, registre) kako bi sakrio svoje prisustvo i aktivnosti.+Osim oslanjanja na privilegirane razine izvršavanja, rootkiti koriste i klasične metode prikrivanja unutar samog operacijskog sustava. To postižu ubacivanjem zlonamjernog koda koji izmjeni ili hooka legitimne funkcije. Na taj način rootkit može presresti pozive kojima bi se njegov kod otkrio i umjesto toga prikazivati lažne informacije sustavu. Na primjer, malver Mebromi nakon infekcije BIOS-a instalira kernel driver u Windows sustavu (my.sys) koji preusmjerava funkcije za čitanje i pisanje diska te tako skriva izmijenjeni MBR i druge tragove infekcije od antivirusnih alata [4]. Općenito, firmverski rootkit može modificirati strukture OS-a (npr. listu procesa, datotečni sustav, registre) kako bi sakrio svoje prisustvo i aktivnosti.
  
 ==== Enkripcija ==== ==== Enkripcija ====
-Enkripcija je još jedan mehanizam kojim malver otežava svoje otkrivanje i analizu. Korištenjem kriptografskih tehnika, zlonamjerni kod ili njegove komponente mogu biti pohranjeni u šifriranom obliku te se dešifrirati tek u trenutku izvođenja. Time se onemogućuje jednostavno otkrivanje malvera pretraživanjem potpisa ili poznatih stringova u firmwareu ili na disku. U praksi su zabilježeni slučajevi gdje su svi bitni dijelovi malvera bili kriptirani unutar firmware image-a ili posebne particije, čineći ih nerazumljivima bez posjedovanja ključa.+Enkripcija je još jedan mehanizam kojim malver otežava svoje otkrivanje i analizu. Korištenjem kriptografskih tehnika, zlonamjerni kod ili njegove komponente mogu biti pohranjeni u šifriranom obliku te se dešifrirati tek u trenutku izvođenja. Time se onemogućuje jednostavno otkrivanje malvera pretraživanjem potpisa ili poznatih stringova u firmwareu ili na disku. U praksi su zabilježeni slučajevi gdje su svi bitni dijelovi malvera bili kriptirani unutar firmware image-a ili posebne particije, time us postali nerazumljivi bez posjedovanja ključa.
  
-Konkretni primjer pruža spomenuti Mebromi: infekcija započinje malim //dropperom// koji je sam šifriran i sadržii nekoliko kriptiranih binarnih komponenti (datoteke hook.rom, flash.dll, cbrom.exe, bios.sys, my.sys) [4]. Tek nakon što se dropper izvrši i dekriptira ove komponente u memoriji, nastavlja se daljnja faza napada (flashanje BIOS-a i infekcija MBR-a). Slično tome, napredniji rootkiti mogu čuvati svoj konfiguracijski podatkovni ili komunikacijski kanal u šifriranom obliku, kako analitičari ne bi lako mogli utvrditi njihovo ponašanje ili ciljeve.+Konkretni primjer pruža Mebromi: infekcija započinje malim dropperom koji je sam šifriran i sadržii nekoliko kriptiranih binarnih komponenti (datoteke hook.rom, flash.dll, cbrom.exe, bios.sys, my.sys) [4]. Tek nakon što se dropper izvrši i dekriptira ove komponente u memoriji, nastavlja se daljnja faza napada (flashanje BIOS-a i infekcija MBR-a). Slično tome, napredniji rootkiti mogu čuvati svoj konfiguracijski podatkovni ili komunikacijski kanal u šifriranom obliku, kako druga strana ne bi lako mogli utvrditi njihovo ponašanje ili ciljeve.
  
 ==== Otpornost na uklanjanje ==== ==== Otpornost na uklanjanje ====
 Jedna od najvažnijih karakteristika firmverskog malvera je trajna prisutnost unatoč pokušajima uklanjanja. Budući da se nalazi izvan područja klasičnih datotečnih sustava, takav malver neće biti uklonjen formatiranjem diska ili ponovnom instalacijom operacijskog sustava. Primjer UEFI rootkita LoJax pokazuje koliko je ova postojanost ozbiljna: zloćudni modul smješten u SPI flash memoriji matične ploče preživljava čak i reinstalaciju OS-a ili zamjenu tvrdog diska [5]. Jedna od najvažnijih karakteristika firmverskog malvera je trajna prisutnost unatoč pokušajima uklanjanja. Budući da se nalazi izvan područja klasičnih datotečnih sustava, takav malver neće biti uklonjen formatiranjem diska ili ponovnom instalacijom operacijskog sustava. Primjer UEFI rootkita LoJax pokazuje koliko je ova postojanost ozbiljna: zloćudni modul smješten u SPI flash memoriji matične ploče preživljava čak i reinstalaciju OS-a ili zamjenu tvrdog diska [5].
  
-Firmverski malver aktivira se pri svakom pokretanju računala i prije predaje kontrole operacijskom sustavu. To mu omogućuje da kontinuirano održava svoju prisutnost. Čak i ako bi se nekim alatom uklonili dijelovi malvera iz OS-a, kod u firmveru može ih ponovno inficirati pri idućem dizanju sustava. Tako je npr. BIOS rootkit Mebromi implementiran da tijekom POST faze provjeri integritet MBR sektora te ukoliko ustanovi da maliciozni MBR nedostaje, ponovno upiše svoj zlonamjerni bootkod na disk [4]. Na taj način napadač osigurava da uklanjanje jedne komponente (MBR rootkita) ne sanira trajno infekciju – firmver stalno drži "sidro" malvera u sustavu.+Firmverski malver aktivira se pri svakom pokretanju računala i prije predaje kontrole operacijskom sustavu. To mu omogućuje da kontinuirano održava svoju prisutnost. Čak i ako bi se nekim alatom uklonili dijelovi malvera iz OS-a, kod u firmveru može ih ponovno inficirati pri idućem dizanju sustava. Tako je npr. BIOS rootkit Mebromi implementiran da tijekom POST faze provjeri integritet MBR sektora te ukoliko ustanovi da maliciozni MBR nedostaje, ponovno upiše svoj zlonamjerni bootkod na disk[4]. Na taj način napadač osigurava da uklanjanje jedne komponente (MBR rootkita) ne sanira trajno infekciju – firmver stalno drži "sidro" malvera u sustavu.
  
 {{ :racfor_wiki:seminari2025:ap2.png?400 |}} {{ :racfor_wiki:seminari2025:ap2.png?400 |}}
  
-Samo uklanjanje firmverskog malvera često je vrlo složeno. Za potpuno čišćenje sustava obično je nužno ručno ponovno ispisati (flashati) ispravan firmware na matičnu ploču, čime se zamjenjuje kompromitirani BIOS/UEFI. Takav postupak nije trivijalan i prosječni ga korisnici rijetko provode, pa malver može dugo ostati prisutan [5]. Nadalje, napadači mogu dodatno otežati uklanjanje zaključavanjem regija SPI flasha ili ometanjem alata za nadogradnju firmwarea. U slučaju LoJaxa, potrebna je posebna skripta za uklanjanje koja ciljano briše maliciozne UEFI module iz flash memorije, što ukazuje na kompleksnost sanacije [5].+Samo uklanjanje firmverskog malvera često je vrlo složeno. Za potpuno čišćenje sustava obično je nužno ručno ponovno ispisati (flashati) ispravan firmware na matičnu ploču, čime se zamjenjuje kompromitirani BIOS/UEFI. Takav postupak nije trivijalan i prosječni ga korisnici rijetko provode, pa malver može dugo ostati prisutan [5]. Napadači mogu dodatno otežati uklanjanje zaključavanjem regija SPI flasha ili ometanjem alata za nadogradnju firmwarea. U slučaju LoJaxa, potrebna je posebna skripta za uklanjanje koja ciljano briše maliciozne UEFI module iz flash memorije[5].
  
 ==== Manipulacija firmvera ==== ==== Manipulacija firmvera ====
 Da bi uopće ostvario opisanu trajnost, malver mora pronaći put do firmvera – odnosno, izvršiti njegovu kompromitaciju ili manipulaciju. Postoji nekoliko vektora napada na firmware. Najčešći scenarij je da napadač ima administratorski (privilegirani) pristup ciljnom sustavu (bilo putem prethodne infekcije malwareom ili fizičkog pristupa) te zatim iskoristi ranjivosti ili alate za upis vlastitog koda u firmware. Da bi uopće ostvario opisanu trajnost, malver mora pronaći put do firmvera – odnosno, izvršiti njegovu kompromitaciju ili manipulaciju. Postoji nekoliko vektora napada na firmware. Najčešći scenarij je da napadač ima administratorski (privilegirani) pristup ciljnom sustavu (bilo putem prethodne infekcije malwareom ili fizičkog pristupa) te zatim iskoristi ranjivosti ili alate za upis vlastitog koda u firmware.
  
-U praksi su zabilježene metode ubacivanja zloćudnih modula u UEFI firmware iskorištavanjem postojećih alata ili propusta. APT grupa Sednit (poznata i kao Fancy Bear) razvila je alat koji može izvući sadržaj SPI flash memorije, zakrpati ga umetnuvši maliciozni UEFI modul, i vratiti natrag na ploču, pod uvjetom da su zaštite za pisanje firmwarea bile ranjive ili pogrešno postavljene [5]. Sličnu tehniku koristio je malver LoJax – identificiran je driver u userspaceu koji poziva UEFI servis za upis flash memorije kako bi dodao zlonamjernu komponentu u UEFI [5]. Time su napadači uspjeli programski "flashati" zloćudni firmware na žrtvin sustav.+U praksi su zabilježene metode ubacivanja zloćudnih modula u UEFI firmware iskorištavanjem postojećih alata ili propusta. APT grupa Sednit (poznata i kao Fancy Bear) razvila je alat koji može izvući sadržaj SPI flash memorije, zakrpati ga umetnuvši maliciozni UEFI modul, i vratiti natrag na ploču, pod pretpostavkom da su zaštite za pisanje firmwarea bile ranjive ili pogrešno postavljene [5]. Sličnu tehniku koristio je malver LoJax – identificiran je driver u userspaceu koji poziva UEFI servis za upis flash memorije kako bi dodao zlonamjernu komponentu u UEFI [5]. Time su napadači uspjeli programski "flashati" zloćudni firmware na žrtvin sustav.
  
-Drugi primjer manipulacije firmwareom dolazi iz ranije spomenutog Mebromi trojanca. On je nakon učitavanja svog kernel drivera koristio legitimni alat proizvođača BIOS-a (Phoenix cbrom.exe) kako bi u postojeću BIOS sliku umetnuo dodatni modul (hook.rom) s rootkit funkcionalnošću [4]. Takva injekcija koda u firmware omogućila je Mebromiju da trajno nastani zloćudni kod unutar BIOS-a, koji se zatim automatski izvršava pri svakom pokretanju računala.+Drugi primjer manipulacije firmwareom dolazi iz ranije spomenutog Mebromi trojanca. On je nakon učitavanja svog kernel drivera koristio legitimni alat proizvođača BIOS-a (Phoenix cbrom.exe) kako bi u postojeću BIOS sliku umetnuo dodatni modul (hook.rom) s rootkit funkcionalnošću[4]. Takva injekcija koda u firmware omogućila je Mebromiju da trajno nastani zloćudni kod unutar BIOS-a, koji se zatim automatski izvršava pri svakom pokretanju računala.
  
-Nedavno otkriveni UEFI rootkit CosmicStrand pokazao je da napadači mogu vrlo precizno modificirati postojeće firmware module. U analiziranim slučajevima, CosmicStrand je pronađen unutar firmware imidža na matičnim pločama – napadač je modificirao jedan legitimni UEFI driver (CSMCORE) ubacivši zloćudni kod i preusmjerivši tok izvođenja na taj kod tijekom boot procesa [3]. Ovo ukazuje da su napadači razvili i automatizirane patchere firmwarea, kojima mogu umetnuti maliciozni payload u specifične dijelove UEFI-ja.+Nedavno otkriveni UEFI rootkit CosmicStrand pokazao je da napadači mogu precizno modificirati postojeće firmware module. U analiziranim slučajevima, CosmicStrand je pronađen unutar firmwara na matičnim pločama – napadač je modificirao jedan legitimni UEFI driver (CSMCORE) ubacivši zloćudni kod i preusmjerivši tok izvođenja na taj kod tijekom boot procesa [3].Ovo ukazuje da su napadači razvili i automatizirane patchere firmwarea, kojima mogu umetnuti maliciozne podatke u specifične dijelove UEFI-ja.
  
-Osim programskog upisa, treba spomenuti i druge puteve kompromitacije firmwarea. Napadač s fizičkim pristupom računalu može direktno zapisati zloćudnu nadogradnju BIOS-a pomoću hardverskog SPI programatora ili iskorištavanjem sučelja poput Thunderbolt/PCIe (DMA napadi). Također, u kontekstu //supply chain// napada, moguće je da se već na kupljenom uređaju nađe ugroženi firmware (npr. ugrađen od strane neovlaštenog dobavljača), što se sumnjalo u slučaju CosmicStranda [3]. Sve ove metode imaju isti cilj: omogućiti da napadačev kod uđe u firmver tamo se trajno nastani.+Osim programskog upisa, treba spomenuti i druge načine kompromitacije firmwarea. Napadač s fizičkim pristupom računalu može direktno zapisati zloćudnu kod u BIOS-a pomoću hardverskog SPI programatora ili iskorištavanjem sučelja poput Thunderbolt/PCIe (DMA napadi). Također, u kontekstu supply chain napada, moguće je da se već na kupljenom uređaju nađe ugroženi firmware (npr. ugrađen od strane neovlaštenog dobavljača), što se sumnjalo u slučaju CosmicStranda[3] ili recimo Izraleske tajne službe pejdžera
  
 ===== Zaključak ===== ===== Zaključak =====
-Firmverski malveri, iako relativno rijetki u usporedbi s uobičajenim malwareom, predstavljaju iznimno ozbiljnu prijetnju zbog svoje sposobnosti da prežive gotovo sve standardne postupke čišćenja sustava i da ostanu neotkriveni dulje vrijeme. Opisanih nekoliko primjera (od Mebromija do LoJaxa i CosmicStranda) pokazuje da takav napad više nije samo teoretska mogućnost, već realnost koju su iskusile i vladine organizacije. Za digitalne forenzičare i stručnjake za sigurnost, izazov je otkriti kompromitaciju firmvera – što često zahtijeva specijalizirane alate i provjere integriteta firmwarea (npr. usporedbom hash vrijednosti firmware slike s tvorničkom).+Firmverski malveri, iako relativno rijetki u usporedbi s uobičajenim malwareom, predstavljaju iznimno ozbiljnu prijetnju zbog svoje sposobnosti da prežive gotovo sve standardne postupke čišćenja sustava i da ostanu neotkriveni dulje vrijeme. Opisanih nekoliko primjera (MebromijaLoJaxa i CosmicStranda) pokazuje da takav napad više nije samo teoretski moguć, već realnost koju su iskusile i vladine organizacije. Za digitalne forenzičare i stručnjake za sigurnost, izazov je otkriti kompromitaciju firmvera – što često zahtijeva specijalizirane alate i provjere integriteta firmwarea (npr. usporedbom hash vrijednosti firmware slike s tvorničkom).
  
-Kombinacija stealth tehnika, enkripcije i duboke integracije u sustav čini firmverske rootkite posebno podmuklim. Standardni antivirusni programi i skeneri integriteta obično ne pokrivaju firmware, pa napadi na ovoj razini mogu proći nezapaženo. Stoga se u razvoju sigurnosnih rješenja sve više pažnje posvećuje nižim razinama sustava: uvode se mehanizmi poput TPM (Trusted Platform Module) i Secure Boot (kada je ispravno konfiguriran) kako bi se otežalo neautorizirano modificiranje firmwarea. Ipak, kao što istraživanja pokazuju [1], napadači pronalaze načine zaobilaženja i tih zaštita, koristeći nedostatke u implementaciji ili logičke propuste.+Kombinacija stealth tehnika, enkripcije i duboke integracije u sustav čini firmverske rootkite posebno podmuklim. Standardni antivirusni programi i skeneri integriteta obično ne pokrivaju firmware, pa napadi na ovoj razini mogu proći nezapaženo. Stoga se u razvoju sigurnosnih rješenja pažnje posvećuje nižim razinama sustava: uvode se mehanizmi poput TPM (Trusted Platform Module) i Secure Boot (kada je ispravno konfiguriran) kako bi se otežalo neautorizirano modificiranje firmwarea. Ipak, kao što istraživanja pokazuju [1], napadači pronalaze načine zaobilaženja i tih zaštita, koristeći nedostatke u implementaciji ili logičke propuste.
  
-U zaključku, razumijevanje firmverskog malvera od ključne je važnosti za cjelovitu sigurnost računalnih sustava. Potrebno je podizati svijest da nadogradnja BIOS/UEFI sustava i provjera njegove cjelovitosti moraju postati dio sigurnosnih praksi, osobito u okruženjima visokog rizika. Razvoj alata za detekciju ovakvih duboko ukorijenjenih prijetnji i istraživanje učinkovitih metoda zaštite (poput provjere digitalnog potpisa firmwarea i hardverskih Root of Trust rješenja) aktivna je istraživačka oblast. Samo kombinacijom višeslojnih obrambenih mjera – od hardwarea do aplikacije – može se suprotstaviti napadima koji se spuštaju sve niže prema samim temeljima digitalnih sustava.+Zaključno, razumijevanje firmverskog malvera od ključne je važnosti za cjelovitu sigurnost računalnih sustava. Potrebno je podizati svijest da nadogradnja BIOS/UEFI sustava i provjera njegove cjelovitosti moraju postati dio sigurnosnih praksi iako do sada možda nije ni bilo toliko potrebe za njihovim naglašavanjem. Samo kombinacijom višeslojnih obrambenih mjera – od hardwarea do aplikacije i dakako ljutskog faktora – može se suprotstaviti napadima koji se spuštaju sve niže u hierarhiji sustava.
  
 ===== Popis literature ===== ===== Popis literature =====
racfor_wiki/seminari2025/ap53562.1770065395.txt.gz · Zadnja izmjena: 2026/02/02 20:49 od Ante Petrović
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0