欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

建立在PCILeech的UEFI DMA入侵攻击

来源:本站整理 作者:佚名 时间:2017-09-14 TAG: 我要投稿

一、媒介
与mac分歧的是,很多PC会遭到针对UEFI的预启动间接内存拜访(Direct Memory Access,DMA)入侵攻击的影响。假如胜利入侵攻击设置装备摆设了安全启动选项的体系,那末盘算机的相信链就会被损坏,安全启动选项也会变得形同虚设。
假如在操作体系启动以前,入侵攻击者曾经得到代码履行权限,那末入侵攻击者就有可以或许进一步攻破还没有加载的操作体系。好比,应用这类方法,入侵攻击者可以或许攻破启用装备掩护(Device Guard)和基于虚拟化的安全特征(Virtualization Based Security,VBS)的Windows 10体系。Dmytro Oleksiuk在这一范畴曾经展开了相干研讨。
本文将重点先容应用DMA来入侵攻击UEFI的详细办法,不会拓展先容若何进一步攻破操作体系。
二、甚么是UEFI
UEFI的全称为Unified Extensible Firmware Interface(同一的扩大固件接口)。在操作体系启动以前,UEFI固件就会在盘算机上运转。UEFI卖力检测操作体系启动所需的内存、磁盘和其余硬件。UEFI自己便是一个小型的操作体系。有时候,人们也会把UEFI称之为BIOS。
三、入侵攻击目的
咱们在6月份购买了一台应用“Kaby Lake” i3处理器的全新的Intel NUC主机。这台主机领有8G内存,搭载了具有安全启动(Secure Boot)功效的Win10 1703体系,同时也启动了Bitlocker+TPM、基于虚拟化的安全(VBS)装备掩护(Device Guard)功效。BIOS版本为BNKBL357.86A.0036.2017.0105.1112。咱们可以或许经由过程外部M.2插槽实现DMA拜访。
咱们的试验目的另有另一台主机,这是一台较老的遐想T430笔记本,领有8G内存,搭载了具有安全启动的Win10 1703体系,同时也开启了Bitlocker+TPM、基于虚拟化的安全(VBS)装备掩护(Device Guard)功效。咱们可以或许经由过程ExpressCard插槽实现DMA拜访。

四、成绩本源
最基本的成绩在于,很多UEFI仍旧没有实现对DMA入侵攻击的防护,只管多年以来,可以或许防护此类入侵攻击的硬件(VT-d/IOMMU)曾经集成到一切CPU中。如下图所示,PCILeech测验考试经由过程DMA来征采目的主机的内存,探求UEFI的hook点。一旦找到冲破口,PCILeech就可以或许导出内存(如下图所示),进一步履行其余入侵攻击行动,好比疏忽安全启动功效来履行随意率性代码。

五、入侵攻击进程
假如主机容许DMA拜访,那末入侵攻击者就可以或许找到准确的内存布局,经由过程笼罩这些内存布局,实现对盘算机的完整节制。PCILeech可以或许主动实现这个进程。咱们可以或许在内存中搜刮EFI体系表(System Table)“IBI SYST”的地点,固然把这个义务间接交给PCILeech会加倍简略。EFI体系表中包括EFI启动办事表“BOOTSERV”的详细地点,这个表中包括很多有价值的函数指针。咱们的入侵攻击植入模块可以或许挪用或hook这些启动办事函数。
如下图所示,咱们胜利hook了启动办事函数SignalEvent()。一旦咱们拔出了用于UEFI的PCILeech“内核(kernel)”模块,咱们就可以或许像应用通俗的PCILeech内核模块那样,应用该模块来导出内存和履行代码。鄙人图中,PCILeech UEFI植入模块uefi_textout被屡次挪用。输入成果会表现在受害者盘算机屏幕中。

一旦入侵攻击实现,咱们可以或许向PCILeech发送kmdexit敕令,卸载UEFI植入模块。在这类情况下,Windows的启动进程如下图所示。假如入侵攻击目的是已加载的操作体系,咱们最佳hook ExitBootServices()这个函数,当操作体系从UEFI处接收盘算机的节制权时,基于EFI的操作体系加载法式就会挪用这个函数。此时,歹意代码就可以或许够改动操作体系加载法式。

六、着手测验考试
小我可以或许亲主着手复现这个试验进程吗?谜底是肯定的。试验代码已作为PCILeech间接内存拜访入侵攻击工具包的一部分,在Github上开源。
七、总结
基于PCILeech的UEFI DMA入侵攻击办法曾经公布于众,全部入侵攻击进程履行起来也不会分外费事。实现对UEFI的DMA入侵攻击再也不是一个扑朔迷离的实践。
请确保在BIOS中启用VT-d以防护DMA入侵攻击。
入侵攻击者可借此进一步冲破操作体系,由于假如UEFI存在漏洞破绽bug,那末依附基于虚拟化的安全曾经再也不是一件可靠的工作。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载