Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
Prijevodi ove stranice:

Ovo je stara izmjena dokumenta!

Sadržaj

UEFI i firmware forenzika

Sažetak

Uvod

UEFI (Unified Extensible Firmware Interface) kritična je poveznica između hardvera i operacijskog sustava koja, zbog smještaja na SPI flash memoriji matične ploče, omogućuje napadačima trajnu prisutnost (perzistenciju) neovisnu o reinstalaciji OS-a ili zamjeni diska. Firmware forenzika bavi se pouzdanim prikupljanjem sadržaja flash čipa i analizom UEFI postavki (NVRAM) kako bi se otkrile neovlaštene izmjene, npr. umetnuti zlonamjerni moduli ili pokušaji da se tijekom paljenja računala pokrene nepouzdan (nepotpisan) kod. Ova wiki stranica definira postupke hardverskog i softverskog snimanja (izrade slike) firmware-a te ključne artefakte nužne za detekciju kompromitacije na najnižoj razini računalnog sustava.

UEFI arhitektura

Za razliku od klasičnog BIOS-a koji je bio monolitni komad koda, UEFI (Unified Extensible Firmware Interface) je složeniji softverski sustav koji djeluje kao “mini operacijski sustav” prije pokretanja glavnog OS-a. Razumijevanje njegove strukture nužno je za lociranje malicioznog koda.

Fizički smještaj: SPI Flash memorija

Sav firmware (BIOS/UEFI) pohranjen je na SPI Flash čipu koji se nalazi na matičnoj ploči.

  • Forenzička važnost: Zbog toga što je čip fizički odvojen od tvrdog diska (HDD/SSD), brisanje ili zamjena diska ne uklanja podatke (ni malware) s ovog čipa.​
  • Struktura: Sadržaj čipa nije nasumičan, nego je organiziran prema strogim pravilima (npr. Intel Flash Descriptor).

Logička struktura Intel SPI Flash memorije. (0) Flash Descriptor definira početak i kraj svih ostalih regija. (1) BIOS (ili UEFI) Region sadrži glavni UEFI kod i NVRAM varijable, dok (2) Intel CSME (Converged Security and Management Engine) sadrži firmware za zasebni sigurnosni procesor. Ostale regije poput (3) GbE (mrežne postavke) i (4) EC (Embedded Controller) su specifične za platformu.

NVRAM (Non-Volatile RAM)

NVRAM je dio flash memorije rezerviran za pohranu postavki koje moraju moći preživjeti gašenje računala.

  • Što sadrži: Boot redoslijed (BootOrder), postavke jezika, i najvažnije, Secure Boot ključeve (PK, KEK, db, dbx).​
  • Forenzička važnost: Napadači ovdje mogu promijeniti način bootanja ili ubaciti svoje ključeve kako bi njihov malware bio “ovlašten” za pokretanje i ovdje često forenzičar traži anomalije.

UEFI Varijable

Podaci unutar NVRAM-a spremaju se u obliku varijabli te svaka varijabla ima svoje ime i jedinstveni identifikator (GUID).

  • Primjer sumnjive varijable: Ako bi bila pronađena varijabla nepoznatog imena koja sadrži veliku količinu binarnih podataka (koda), to može biti maliciozni payload.

Literatura

[1] Brenda Buckman, What is UEFI and Why It Matters in Cybersecurity
[2] Alex Matrosov, Eugene Rodionov, UEFI Firmware Rootkits: Myths and Reality
[3] Jim Mortensen & Dick Wilkins, PhD, Phoenix Technologies, Ltd., UEFI Firmware Security Concerns and Best Practices
[4] Paul Asadoorian, Firmware Security Realizations - Part 3 - SPI Write Protections

racfor_wiki/seminari2025/fb53204.1769709900.txt.gz · Zadnja izmjena: 2026/01/29 18:05 od Franko Budimir
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0