konstrukt
Информационная безопасность/Пробив-Сервис
Доверенный продавец
Проверенный продавец
Сервис
Пробив сервис
Подтвержденный
- Сообщения
- 170
- Реакции
- 45
- Продажи
- 6
- Покупки
- 13
- Кешбек
- 9.25$
Атаки на уровне прошивок и аппаратные кейлоггеры
Почему прошивки это отдельный уровень угрозы
Большинство думают об угрозах на уровне операционной системы. Переустановил систему — чист. Но прошивки живут ниже ОС и переживают любую переустановку. Заражённый UEFI продолжает работать после форматирования, смены жёсткого диска и даже после замены ОС. Это принципиально другой уровень персистентности.
UEFI/BIOS атаки
Как это работает
UEFI это первое что запускается при включении компьютера — до загрузчика, до ядра ОС, до антивируса. Код в UEFI имеет максимальный уровень привилегий и полный доступ к железу.
Вредоносный код в UEFI может: внедрять payload в ОС при каждой загрузке, перехватывать данные до того как ОС успела загрузиться, отключать механизмы защиты типа Secure Boot, выживать после полной переустановки системы и замены накопителя.
Реальные случаи
LoJax — первый задокументированный UEFI руткит использованный в реальных атаках. Обнаружен ESET в 2018 году, приписан группе APT28. Модифицировал SPI флеш память UEFI и выживал после любых манипуляций с диском.
MoonBounce — обнаружен Kaspersky в 2022 году. Внедрялся непосредственно в CORE_DXE компонент UEFI что делало его практически невидимым для стандартных инструментов.
CosmicStrand — ещё более продвинутый, обнаружен в 2022 году. Присутствовал на материнских платах Gigabyte и ASUS, предположительно внедрялся ещё на этапе производства или продажи.
Векторы заражения
Физический доступ к машине — самый прямой способ. Через уязвимости в драйверах — некоторые драйверы имеют доступ к SPI флешу где хранится UEFI. Через supply chain — заражение на этапе производства или логистики, задокументированные случаи есть. Через обновления прошивки с поддельных источников.
Как защититься
Secure Boot с кастомными ключами — не с дефолтными ключами Microsoft а со своими. Дефолтные ключи широко известны и скомпрометированы в ряде сценариев.
Intel Boot Guard и AMD Platform Secure Boot — аппаратная верификация прошивки при старте. Если производитель включил и правильно настроил — модификация UEFI становится крайне сложной.
Регулярная проверка прошивки. Инструмент chipsec — открытый проект Intel для аудита безопасности платформы. Проверяет настройки защиты SPI флеша, конфигурацию Secure Boot, целостность критических компонентов.
UEFI Capsule Updates только с официальных источников производителя, верифицированные через официальный сайт.
Физическая защита — если к машине был физический доступ посторонних, доверять ей нельзя без полной проверки.
Thunderbolt и DMA атаки
Смежная тема. Thunderbolt даёт устройствам прямой доступ к памяти (DMA — Direct Memory Access) в обход процессора и ОС. Подключённое устройство может читать и писать в любую область памяти.
Thunderspy — атака задокументированная в 2020 году. При физическом доступе на пять минут позволяет обойти любую защиту включая BitLocker и экран блокировки через перепрограммирование контроллера Thunderbolt.
Защита: отключить Thunderbolt в UEFI если не используется. Включить Kernel DMA Protection в Windows или аналог на Linux. Thunderbolt с режимом Security Level установленным в User Authorization — устройства требуют явного подтверждения.
Аппаратные кейлоггеры
Что это и почему опасно
Аппаратный кейлоггер это физическое устройство которое перехватывает нажатия клавиш независимо от ОС. Никакой антивирус его не видит. Никакой форензик анализ системы его не обнаружит. Он работает на уровне железа.
Виды
USB кейлоггеры — вставляются между клавиатурой и компьютером. Выглядят как небольшой адаптер, часто маскируются под USB хаб или зарядное устройство. Накапливают данные во внутренней памяти, потом физически извлекаются. Некоторые модели передают данные по WiFi в реальном времени.
PS/2 кейлоггеры — для старых разъёмов PS/2. Редко встречаются сейчас но на промышленном оборудовании со старой периферией актуальны.
Firmware кейлоггеры — встраиваются в прошивку самой клавиатуры. Внешне клавиатура выглядит штатно, никаких физических признаков. Данные могут храниться во флеш памяти клавиатуры или передаваться по беспроводному каналу.
Акустические кейлоггеры — не устройства а метод. Разные клавиши издают незначительно разные звуки при нажатии. Исследования показали возможность восстановления текста по звуку клавиатуры с точностью до 95% через микрофон в помещении или через микрофон ноутбука.
Электромагнитные кейлоггеры — перехват электромагнитного излучения от проводной клавиатуры. Исследователи из EPFL в 2009 году показали что PS/2 клавиатуры можно перехватывать на расстоянии до 20 метров через стены.
Как обнаружить
Физический осмотр. Регулярно проверять соединение клавиатуры с компьютером. USB кейлоггер это лишний элемент в цепочке — должен быть виден при внимательном осмотре. Если клавиатура раньше подключалась напрямую а теперь есть промежуточный адаптер — вопрос.
Длина кабеля и вес. USB кейлоггер добавляет несколько сантиметров к длине подключения и имеет вес. На знакомом оборудовании изменения заметны.
Анализ USB устройств. В Windows через Device Manager или USBDeview — смотреть список подключённых USB устройств. Кейлоггер появляется как отдельное устройство. На Linux через lsusb — любое неизвестное устройство в цепочке подозрительно.
Поведенческие признаки. Небольшая задержка между нажатием клавиши и появлением символа может указывать на перехват — хотя это ненадёжный признак.
Проверка прошивки клавиатуры. Сложнее но возможно для технически подготовленных. Сравнение хеша прошивки с официальным значением от производителя.
Защита
Физический контроль доступа — основное. Если к рабочему месту был доступ посторонних, проверять оборудование перед работой.
Беспроводные клавиатуры — отдельный риск. Многие используют слабое шифрование или не используют его вообще. Исследование MouseJack показало уязвимости в большинстве беспроводных клавиатур не использующих Bluetooth. Лучше проводная клавиатура с регулярным визуальным осмотром.
Экранная клавиатура для критически важного ввода — паролей, ключевых фраз. Аппаратный кейлоггер её не перехватит, но это защищает только от конкретного вектора.
Общий вывод
Эти векторы объединяет одно — они работают ниже уровня на котором большинство людей думают о безопасности. Переустановка ОС, смена паролей, шифрование диска не помогают если угроза на уровне прошивки или физического устройства. Защита от этих векторов начинается с физического контроля доступа к оборудованию и заканчивается аппаратной верификацией на уровне UEFI.
Почему прошивки это отдельный уровень угрозы
Большинство думают об угрозах на уровне операционной системы. Переустановил систему — чист. Но прошивки живут ниже ОС и переживают любую переустановку. Заражённый UEFI продолжает работать после форматирования, смены жёсткого диска и даже после замены ОС. Это принципиально другой уровень персистентности.
UEFI/BIOS атаки
Как это работает
UEFI это первое что запускается при включении компьютера — до загрузчика, до ядра ОС, до антивируса. Код в UEFI имеет максимальный уровень привилегий и полный доступ к железу.
Вредоносный код в UEFI может: внедрять payload в ОС при каждой загрузке, перехватывать данные до того как ОС успела загрузиться, отключать механизмы защиты типа Secure Boot, выживать после полной переустановки системы и замены накопителя.
Реальные случаи
LoJax — первый задокументированный UEFI руткит использованный в реальных атаках. Обнаружен ESET в 2018 году, приписан группе APT28. Модифицировал SPI флеш память UEFI и выживал после любых манипуляций с диском.
MoonBounce — обнаружен Kaspersky в 2022 году. Внедрялся непосредственно в CORE_DXE компонент UEFI что делало его практически невидимым для стандартных инструментов.
CosmicStrand — ещё более продвинутый, обнаружен в 2022 году. Присутствовал на материнских платах Gigabyte и ASUS, предположительно внедрялся ещё на этапе производства или продажи.
Векторы заражения
Физический доступ к машине — самый прямой способ. Через уязвимости в драйверах — некоторые драйверы имеют доступ к SPI флешу где хранится UEFI. Через supply chain — заражение на этапе производства или логистики, задокументированные случаи есть. Через обновления прошивки с поддельных источников.
Как защититься
Secure Boot с кастомными ключами — не с дефолтными ключами Microsoft а со своими. Дефолтные ключи широко известны и скомпрометированы в ряде сценариев.
Intel Boot Guard и AMD Platform Secure Boot — аппаратная верификация прошивки при старте. Если производитель включил и правильно настроил — модификация UEFI становится крайне сложной.
Регулярная проверка прошивки. Инструмент chipsec — открытый проект Intel для аудита безопасности платформы. Проверяет настройки защиты SPI флеша, конфигурацию Secure Boot, целостность критических компонентов.
UEFI Capsule Updates только с официальных источников производителя, верифицированные через официальный сайт.
Физическая защита — если к машине был физический доступ посторонних, доверять ей нельзя без полной проверки.
Thunderbolt и DMA атаки
Смежная тема. Thunderbolt даёт устройствам прямой доступ к памяти (DMA — Direct Memory Access) в обход процессора и ОС. Подключённое устройство может читать и писать в любую область памяти.
Thunderspy — атака задокументированная в 2020 году. При физическом доступе на пять минут позволяет обойти любую защиту включая BitLocker и экран блокировки через перепрограммирование контроллера Thunderbolt.
Защита: отключить Thunderbolt в UEFI если не используется. Включить Kernel DMA Protection в Windows или аналог на Linux. Thunderbolt с режимом Security Level установленным в User Authorization — устройства требуют явного подтверждения.
Аппаратные кейлоггеры
Что это и почему опасно
Аппаратный кейлоггер это физическое устройство которое перехватывает нажатия клавиш независимо от ОС. Никакой антивирус его не видит. Никакой форензик анализ системы его не обнаружит. Он работает на уровне железа.
Виды
USB кейлоггеры — вставляются между клавиатурой и компьютером. Выглядят как небольшой адаптер, часто маскируются под USB хаб или зарядное устройство. Накапливают данные во внутренней памяти, потом физически извлекаются. Некоторые модели передают данные по WiFi в реальном времени.
PS/2 кейлоггеры — для старых разъёмов PS/2. Редко встречаются сейчас но на промышленном оборудовании со старой периферией актуальны.
Firmware кейлоггеры — встраиваются в прошивку самой клавиатуры. Внешне клавиатура выглядит штатно, никаких физических признаков. Данные могут храниться во флеш памяти клавиатуры или передаваться по беспроводному каналу.
Акустические кейлоггеры — не устройства а метод. Разные клавиши издают незначительно разные звуки при нажатии. Исследования показали возможность восстановления текста по звуку клавиатуры с точностью до 95% через микрофон в помещении или через микрофон ноутбука.
Электромагнитные кейлоггеры — перехват электромагнитного излучения от проводной клавиатуры. Исследователи из EPFL в 2009 году показали что PS/2 клавиатуры можно перехватывать на расстоянии до 20 метров через стены.
Как обнаружить
Физический осмотр. Регулярно проверять соединение клавиатуры с компьютером. USB кейлоггер это лишний элемент в цепочке — должен быть виден при внимательном осмотре. Если клавиатура раньше подключалась напрямую а теперь есть промежуточный адаптер — вопрос.
Длина кабеля и вес. USB кейлоггер добавляет несколько сантиметров к длине подключения и имеет вес. На знакомом оборудовании изменения заметны.
Анализ USB устройств. В Windows через Device Manager или USBDeview — смотреть список подключённых USB устройств. Кейлоггер появляется как отдельное устройство. На Linux через lsusb — любое неизвестное устройство в цепочке подозрительно.
Поведенческие признаки. Небольшая задержка между нажатием клавиши и появлением символа может указывать на перехват — хотя это ненадёжный признак.
Проверка прошивки клавиатуры. Сложнее но возможно для технически подготовленных. Сравнение хеша прошивки с официальным значением от производителя.
Защита
Физический контроль доступа — основное. Если к рабочему месту был доступ посторонних, проверять оборудование перед работой.
Беспроводные клавиатуры — отдельный риск. Многие используют слабое шифрование или не используют его вообще. Исследование MouseJack показало уязвимости в большинстве беспроводных клавиатур не использующих Bluetooth. Лучше проводная клавиатура с регулярным визуальным осмотром.
Экранная клавиатура для критически важного ввода — паролей, ключевых фраз. Аппаратный кейлоггер её не перехватит, но это защищает только от конкретного вектора.
Общий вывод
Эти векторы объединяет одно — они работают ниже уровня на котором большинство людей думают о безопасности. Переустановка ОС, смена паролей, шифрование диска не помогают если угроза на уровне прошивки или физического устройства. Защита от этих векторов начинается с физического контроля доступа к оборудованию и заканчивается аппаратной верификацией на уровне UEFI.
