UEFI i firmware forenzika

UEFI (Unified Extensible Firmware Interface) kritična je poveznica između hardvera i operacijskog sustava koja, zbog smještaja na SPI flash memoriji matične ploče, omogućuje napadačima trajnu prisutnost (perzistenciju) neovisnu o reinstalaciji OS-a ili zamjeni diska. Firmware forenzika bavi se pouzdanim prikupljanjem sadržaja flash čipa i analizom UEFI postavki (NVRAM) kako bi se otkrile neovlaštene izmjene, npr. umetnuti zlonamjerni moduli ili pokušaji da se tijekom paljenja računala pokrene nepouzdan (nepotpisan) kod. Ova wiki stranica definira postupke hardverskog i softverskog snimanja (izrade slike) firmware-a te ključne artefakte nužne za detekciju kompromitacije na najnižoj razini računalnog sustava.

Sav firmware (BIOS/UEFI) pohranjen je na SPI Flash čipu koji se nalazi na matičnoj ploči.

• Forenzička važnost: Zbog toga što je čip fizički odvojen od tvrdog diska (HDD/SSD), brisanje ili zamjena diska ne uklanja podatke (ni malware) s ovog čipa.​
• Struktura: Sadržaj čipa nije nasumičan, nego je organiziran prema strogim pravilima (npr. Intel Flash Descriptor).

Logička struktura Intel SPI Flash memorije. (0) Flash Descriptor definira početak i kraj svih ostalih regija. (1) BIOS (ili UEFI) Region sadrži glavni UEFI kod i NVRAM varijable, dok (2) Intel CSME (Converged Security and Management Engine) sadrži firmware za zasebni sigurnosni procesor. Ostale regije poput (3) GbE (mrežne postavke) i (4) EC (Embedded Controller) su specifične za platformu.

[1] Brenda Buckman, What is UEFI and Why It Matters in Cybersecurity
[2] Alex Matrosov, Eugene Rodionov, UEFI Firmware Rootkits: Myths and Reality
[3] Jim Mortensen & Dick Wilkins, PhD, Phoenix Technologies, Ltd., UEFI Firmware Security Concerns and Best Practices
[4] Paul Asadoorian, Firmware Security Realizations - Part 3 - SPI Write Protections