Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2025:ap53562 [2026/02/02 21:03]
Ante Petrović [Otpornost na uklanjanje] 		racfor_wiki:seminari2025:ap53562 [2026/02/02 21:23] (trenutno)
Ante Petrović [Zaključak]
Redak 47: Redak 47:
 Da bi uopće ostvario opisanu trajnost, malver mora pronaći put do firmvera – odnosno, izvršiti njegovu kompromitaciju ili manipulaciju. Postoji nekoliko vektora napada na firmware. Najčešći scenarij je da napadač ima administratorski (privilegirani) pristup ciljnom sustavu (bilo putem prethodne infekcije malwareom ili fizičkog pristupa) te zatim iskoristi ranjivosti ili alate za upis vlastitog koda u firmware. Da bi uopće ostvario opisanu trajnost, malver mora pronaći put do firmvera – odnosno, izvršiti njegovu kompromitaciju ili manipulaciju. Postoji nekoliko vektora napada na firmware. Najčešći scenarij je da napadač ima administratorski (privilegirani) pristup ciljnom sustavu (bilo putem prethodne infekcije malwareom ili fizičkog pristupa) te zatim iskoristi ranjivosti ili alate za upis vlastitog koda u firmware.
  
-U praksi su zabilježene metode ubacivanja zloćudnih modula u UEFI firmware iskorištavanjem postojećih alata ili propusta. APT grupa Sednit (poznata i kao Fancy Bear) razvila je alat koji može izvući sadržaj SPI flash memorije, zakrpati ga umetnuvši maliciozni UEFI modul, i vratiti natrag na ploču, pod uvjetom da su zaštite za pisanje firmwarea bile ranjive ili pogrešno postavljene [5]. Sličnu tehniku koristio je malver LoJax – identificiran je driver u userspaceu koji poziva UEFI servis za upis flash memorije kako bi dodao zlonamjernu komponentu u UEFI [5]. Time su napadači uspjeli programski "flashati" zloćudni firmware na žrtvin sustav.+U praksi su zabilježene metode ubacivanja zloćudnih modula u UEFI firmware iskorištavanjem postojećih alata ili propusta. APT grupa Sednit (poznata i kao Fancy Bear) razvila je alat koji može izvući sadržaj SPI flash memorije, zakrpati ga umetnuvši maliciozni UEFI modul, i vratiti natrag na ploču, pod pretpostavkom da su zaštite za pisanje firmwarea bile ranjive ili pogrešno postavljene [5]. Sličnu tehniku koristio je malver LoJax – identificiran je driver u userspaceu koji poziva UEFI servis za upis flash memorije kako bi dodao zlonamjernu komponentu u UEFI [5]. Time su napadači uspjeli programski "flashati" zloćudni firmware na žrtvin sustav.
  
-Drugi primjer manipulacije firmwareom dolazi iz ranije spomenutog Mebromi trojanca. On je nakon učitavanja svog kernel drivera koristio legitimni alat proizvođača BIOS-a (Phoenix cbrom.exe) kako bi u postojeću BIOS sliku umetnuo dodatni modul (hook.rom) s rootkit funkcionalnošću [4]. Takva injekcija koda u firmware omogućila je Mebromiju da trajno nastani zloćudni kod unutar BIOS-a, koji se zatim automatski izvršava pri svakom pokretanju računala.+Drugi primjer manipulacije firmwareom dolazi iz ranije spomenutog Mebromi trojanca. On je nakon učitavanja svog kernel drivera koristio legitimni alat proizvođača BIOS-a (Phoenix cbrom.exe) kako bi u postojeću BIOS sliku umetnuo dodatni modul (hook.rom) s rootkit funkcionalnošću[4]. Takva injekcija koda u firmware omogućila je Mebromiju da trajno nastani zloćudni kod unutar BIOS-a, koji se zatim automatski izvršava pri svakom pokretanju računala.
  
-Nedavno otkriveni UEFI rootkit CosmicStrand pokazao je da napadači mogu vrlo precizno modificirati postojeće firmware module. U analiziranim slučajevima, CosmicStrand je pronađen unutar firmware imidža na matičnim pločama – napadač je modificirao jedan legitimni UEFI driver (CSMCORE) ubacivši zloćudni kod i preusmjerivši tok izvođenja na taj kod tijekom boot procesa [3]. Ovo ukazuje da su napadači razvili i automatizirane patchere firmwarea, kojima mogu umetnuti maliciozni payload u specifične dijelove UEFI-ja.+Nedavno otkriveni UEFI rootkit CosmicStrand pokazao je da napadači mogu precizno modificirati postojeće firmware module. U analiziranim slučajevima, CosmicStrand je pronađen unutar firmwara na matičnim pločama – napadač je modificirao jedan legitimni UEFI driver (CSMCORE) ubacivši zloćudni kod i preusmjerivši tok izvođenja na taj kod tijekom boot procesa [3].Ovo ukazuje da su napadači razvili i automatizirane patchere firmwarea, kojima mogu umetnuti maliciozne podatke u specifične dijelove UEFI-ja.
  
-Osim programskog upisa, treba spomenuti i druge puteve kompromitacije firmwarea. Napadač s fizičkim pristupom računalu može direktno zapisati zloćudnu nadogradnju BIOS-a pomoću hardverskog SPI programatora ili iskorištavanjem sučelja poput Thunderbolt/PCIe (DMA napadi). Također, u kontekstu //supply chain// napada, moguće je da se već na kupljenom uređaju nađe ugroženi firmware (npr. ugrađen od strane neovlaštenog dobavljača), što se sumnjalo u slučaju CosmicStranda [3]. Sve ove metode imaju isti cilj: omogućiti da napadačev kod uđe u firmver tamo se trajno nastani.+Osim programskog upisa, treba spomenuti i druge načine kompromitacije firmwarea. Napadač s fizičkim pristupom računalu može direktno zapisati zloćudnu kod u BIOS-a pomoću hardverskog SPI programatora ili iskorištavanjem sučelja poput Thunderbolt/PCIe (DMA napadi). Također, u kontekstu supply chain napada, moguće je da se već na kupljenom uređaju nađe ugroženi firmware (npr. ugrađen od strane neovlaštenog dobavljača), što se sumnjalo u slučaju CosmicStranda[3] ili recimo Izraleske tajne službe pejdžera
  
 ===== Zaključak ===== ===== Zaključak =====
-Firmverski malveri, iako relativno rijetki u usporedbi s uobičajenim malwareom, predstavljaju iznimno ozbiljnu prijetnju zbog svoje sposobnosti da prežive gotovo sve standardne postupke čišćenja sustava i da ostanu neotkriveni dulje vrijeme. Opisanih nekoliko primjera (od Mebromija do LoJaxa i CosmicStranda) pokazuje da takav napad više nije samo teoretska mogućnost, već realnost koju su iskusile i vladine organizacije. Za digitalne forenzičare i stručnjake za sigurnost, izazov je otkriti kompromitaciju firmvera – što često zahtijeva specijalizirane alate i provjere integriteta firmwarea (npr. usporedbom hash vrijednosti firmware slike s tvorničkom).+Firmverski malveri, iako relativno rijetki u usporedbi s uobičajenim malwareom, predstavljaju iznimno ozbiljnu prijetnju zbog svoje sposobnosti da prežive gotovo sve standardne postupke čišćenja sustava i da ostanu neotkriveni dulje vrijeme. Opisanih nekoliko primjera (MebromijaLoJaxa i CosmicStranda) pokazuje da takav napad više nije samo teoretski moguć, već realnost koju su iskusile i vladine organizacije. Za digitalne forenzičare i stručnjake za sigurnost, izazov je otkriti kompromitaciju firmvera – što često zahtijeva specijalizirane alate i provjere integriteta firmwarea (npr. usporedbom hash vrijednosti firmware slike s tvorničkom).
  
-Kombinacija stealth tehnika, enkripcije i duboke integracije u sustav čini firmverske rootkite posebno podmuklim. Standardni antivirusni programi i skeneri integriteta obično ne pokrivaju firmware, pa napadi na ovoj razini mogu proći nezapaženo. Stoga se u razvoju sigurnosnih rješenja sve više pažnje posvećuje nižim razinama sustava: uvode se mehanizmi poput TPM (Trusted Platform Module) i Secure Boot (kada je ispravno konfiguriran) kako bi se otežalo neautorizirano modificiranje firmwarea. Ipak, kao što istraživanja pokazuju [1], napadači pronalaze načine zaobilaženja i tih zaštita, koristeći nedostatke u implementaciji ili logičke propuste.+Kombinacija stealth tehnika, enkripcije i duboke integracije u sustav čini firmverske rootkite posebno podmuklim. Standardni antivirusni programi i skeneri integriteta obično ne pokrivaju firmware, pa napadi na ovoj razini mogu proći nezapaženo. Stoga se u razvoju sigurnosnih rješenja pažnje posvećuje nižim razinama sustava: uvode se mehanizmi poput TPM (Trusted Platform Module) i Secure Boot (kada je ispravno konfiguriran) kako bi se otežalo neautorizirano modificiranje firmwarea. Ipak, kao što istraživanja pokazuju [1], napadači pronalaze načine zaobilaženja i tih zaštita, koristeći nedostatke u implementaciji ili logičke propuste.
  
-U zaključku, razumijevanje firmverskog malvera od ključne je važnosti za cjelovitu sigurnost računalnih sustava. Potrebno je podizati svijest da nadogradnja BIOS/UEFI sustava i provjera njegove cjelovitosti moraju postati dio sigurnosnih praksi, osobito u okruženjima visokog rizika. Razvoj alata za detekciju ovakvih duboko ukorijenjenih prijetnji i istraživanje učinkovitih metoda zaštite (poput provjere digitalnog potpisa firmwarea i hardverskih Root of Trust rješenja) aktivna je istraživačka oblast. Samo kombinacijom višeslojnih obrambenih mjera – od hardwarea do aplikacije – može se suprotstaviti napadima koji se spuštaju sve niže prema samim temeljima digitalnih sustava.+Zaključno, razumijevanje firmverskog malvera od ključne je važnosti za cjelovitu sigurnost računalnih sustava. Potrebno je podizati svijest da nadogradnja BIOS/UEFI sustava i provjera njegove cjelovitosti moraju postati dio sigurnosnih praksi iako do sada možda nije ni bilo toliko potrebe za njihovim naglašavanjem. Samo kombinacijom višeslojnih obrambenih mjera – od hardwarea do aplikacije i dakako ljutskog faktora – može se suprotstaviti napadima koji se spuštaju sve niže u hierarhiji sustava.
  
 ===== Popis literature ===== ===== Popis literature =====
racfor_wiki/seminari2025/ap53562.1770066221.txt.gz · Zadnja izmjena: 2026/02/02 21:03 od Ante Petrović
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0