Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2025:fb53204 [2026/02/01 14:34]
Franko Budimir 		racfor_wiki:seminari2025:fb53204 [2026/02/01 14:59] (trenutno)
Franko Budimir
Redak 33: Redak 33:
 =====Vektori napada na firmware===== =====Vektori napada na firmware=====
 Napadači ciljaju firmware jer omogućuje trajnu prisutnost (perzistenciju) ispod razine operacijskog sustava, što znači da malware preživljava reinstalaciju OS-a, zamjenu diska ili skeniranje antivirus softverom. UEFI arhitektura nudi nekoliko "ulaznih točaka" koje napadači iskorištavaju kako bi ugradili zlonamjerni kod. Napadači ciljaju firmware jer omogućuje trajnu prisutnost (perzistenciju) ispod razine operacijskog sustava, što znači da malware preživljava reinstalaciju OS-a, zamjenu diska ili skeniranje antivirus softverom. UEFI arhitektura nudi nekoliko "ulaznih točaka" koje napadači iskorištavaju kako bi ugradili zlonamjerni kod.
 +
 +[[https://learn.microsoft.com/en-us/defender-endpoint/uefi-scanning-in-defender-for-endpoint|{{ racfor_wiki:seminari2025:expected-vs-attacker-boot-flow.jpg?500 }}]]
 +
 +Usporedba očekivanog i kompromitiranog lanca pokretanja (boot flow). Lijeva strana prikazuje siguran sustav gdje se učitavaju samo pouzdani UEFI driveri, dok desna strana prikazuje scenarij u kojem pogrešna konfiguracija sigurnosnih postavki (npr. isključen Secure Boot ili ranjiv BIOS Write Protection) omogućuje napadaču umetanje Firmware rootkita i učitavanje zlonamjernih drivera prije samog operacijskog sustava.
  
 ===Umetanje u DXE drivere=== ===Umetanje u DXE drivere===
Redak 82: Redak 86:
  
 Prvi korak je pretvaranje binarnog oblika u čitljivi oblik, a standardni alat za ovu namjenu je **UEFITool** (open-source rješenje autora Nikolaja Schleja). Alat prikazuje stablo firmwarea, koje omogućuje forenzičaru pregled GUID-ova (jedinstvenih identifikatora modula), imena drivera i sekcija. U ovom koraku forenzičar aktivno traži module koji nemaju ime (Unnamed), module s neobičnim GUID-ovima ili DXE drivere koji su naknadno dodani u odnosu na originalne tvorničku postavke. UEFITool također omogućuje ekstrakciju sumnjivih modula (opcija Extract Body) za daljnju analizu reverznim inženjerstvom u alatima poput IDA Pro ili Ghidra. Prvi korak je pretvaranje binarnog oblika u čitljivi oblik, a standardni alat za ovu namjenu je **UEFITool** (open-source rješenje autora Nikolaja Schleja). Alat prikazuje stablo firmwarea, koje omogućuje forenzičaru pregled GUID-ova (jedinstvenih identifikatora modula), imena drivera i sekcija. U ovom koraku forenzičar aktivno traži module koji nemaju ime (Unnamed), module s neobičnim GUID-ovima ili DXE drivere koji su naknadno dodani u odnosu na originalne tvorničku postavke. UEFITool također omogućuje ekstrakciju sumnjivih modula (opcija Extract Body) za daljnju analizu reverznim inženjerstvom u alatima poput IDA Pro ili Ghidra.
 +
 +[[https://flathub.org/en/apps/com.github.LongSoft.UEFITool|{{ racfor_wiki:seminari2025:uefitool.png?600 }}]]
 +
 +Prikaz strukture UEFI firmwarea u alatu UEFITool. Vide se pojedinačni moduli (driveri) s njihovim GUID-ovima i imenima.
  
 ===Analiza NVRAM varijabli=== ===Analiza NVRAM varijabli===
Redak 93: Redak 101:
  
 **Chipsec** je moćan framework za procjenu sigurnosti platforme koji može analizirati živi sustav ili statički dump. Njegova glavna moć je automatizirana provjera hardverskih zaštita, npr. pokretanje skripte chipsec_main.py može otkriti je li uključena BIOS Write Protection zaštita (koja sprječava pisanje po flash memoriji) ili su ranjivi SMM (System Management Mode) mehanizmi. Ako Chipsec prijavi "FAILED" na ovim ključnim zaštitama, to je snažan indikator da je sustav podložan napadima ili već kompromitiran. **Chipsec** je moćan framework za procjenu sigurnosti platforme koji može analizirati živi sustav ili statički dump. Njegova glavna moć je automatizirana provjera hardverskih zaštita, npr. pokretanje skripte chipsec_main.py može otkriti je li uključena BIOS Write Protection zaštita (koja sprječava pisanje po flash memoriji) ili su ranjivi SMM (System Management Mode) mehanizmi. Ako Chipsec prijavi "FAILED" na ovim ključnim zaštitama, to je snažan indikator da je sustav podložan napadima ili već kompromitiran.
 +
 +
 +[[https://firmwaresecurity.com/2017/11/15/purism-librem15-fails-chipsec-security-tests/|{{ racfor_wiki:seminari2025:librem15.png?500 }}]]
 +
 +Prikaz rezultata Chipsec analize (Linux terminal). Crvenom bojom su istaknuti testovi koji nisu prošli (FAILED), konkretno bios_wp (BIOS Write Protection) i spi_desc (zaštita Flash Descriptora). Ovi rezultati ukazuju na ranjivost sustava koja napadaču omogućuje trajno zapisivanje zlonamjernog koda u SPI flash memoriju.
 +
  
 ===Usporedba s poznatim uzorkom (Whitelisting)=== ===Usporedba s poznatim uzorkom (Whitelisting)===
racfor_wiki/seminari2025/fb53204.1769956455.txt.gz · Zadnja izmjena: 2026/02/01 14:34 od Franko Budimir
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0