• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Вирус в БИОСе?

max_wt_tn

New member
11.11.2021
2
0
BIT
0
Всем привет!

Друзья, есть вопрос: возможно ли заражение БИОС трояном?

Подробней: есть пара старых ноутов, в которых сетевуха сама по себе может оживать после выключения этих ноутов при включении компа или нового ноута) Да. Два ноута юзаю по работе( документы какие - то храню, скрипты на Питоне или на ПХП, копии стареньких проектов и т.д. ), на них стоит Линукс( Parrot Os, если точно. Нравится эта операционка в первую очередь за то, что в коробке куча драйверов, которые на "ура" подходят для моих стареньких ноутов( к примеру, один из них - Lenovo e535 и с дровами на видюху когда - то очень "парился") ), да и радует из коробки уже установленные апач, энжинкс и т.д., и т.п.. Иногда сериалы какие - то смотрю.

Так вот, недавно заметил, что когда ноуты выключаю, а потом через полчаса или час включаю новый ноут или комп, то на роутере обнаруживаю загорание светодиодов, показывающих активность сетевых карт на моих выключенных ноутах.
Залез в настройки ноутов и обнаружил выключенным "Wake on lan". Пытался сам даже отправлять "магические пакеты" на ноуты, думая, что все - таки каким - то образом "wake on lan" включен. Нет, ничего вот также не включается. Вот и думаю. Просто раньше был случай, когда ноуты были взломаны и на них был установлен "вредонос". Попытка пропинговать сеть nmap или отправить arp - запросы, чтобы увидеть активные хосты в сети( с помощью arp-scan --localnet ), или просто запустить Ваяшарк с сетевой картой в "promisc" - режиме, ни к чему не приводят - просто горят светодиоды, но никакого дополнительного трафика я не вижу.

В общем, интересует мнение. Возможно ли в БИОС установить трояна, который по событию включается( ну, т.е. ноут не выключается совсем, а сетевуха снифферит определенный пакет( не "магический" при wake on lan ), который разрабом вируса был указан, и далее включается сетевуха и далее, подключаясь через трояна, через DMA( dirrect memory access ), кто - то на ноут залезть может? Или это я перемудрил с домыслами?
 

Pernat1y

Well-known member
05.04.2018
1 443
135
BIT
0
В общем, интересует мнение. Возможно ли в БИОС установить трояна, который по событию включается( ну, т.е. ноут не выключается совсем, а сетевуха снифферит определенный пакет( не "магический" при wake on lan ), который разрабом вируса был указан, и далее включается сетевуха и далее, подключаясь через трояна, через DMA( dirrect memory access ), кто - то на ноут залезть может? Или это я перемудрил с домыслами?
Я не могу сказать, что такое физически невозможно, но разработка такого софта будет стоить таких деньжищь, что использовать его на ком-то, ниже CEO крупных корпораций просто нету смысла.
 

slashleak

Member
08.02.2022
11
0
BIT
0
Бред, обычно флешки биоса занимают весь биос, но я не отрицаю существование таких вирусов, по крайней мере сейчас таких нет.
 

Pernat1y

Well-known member
05.04.2018
1 443
135
BIT
0
Бред, обычно флешки биоса занимают весь биос, но я не отрицаю существование таких вирусов, по крайней мере сейчас таких нет.
Если не разбираешься в теме, то лучше промолчи. А то глупо выглядит и людей в заблуждение вводит.
Ну и про UEFI малварь и буткиты почитай. Откроешь для себя много нового.
 

slashleak

Member
08.02.2022
11
0
BIT
0
На старых флешках биоса места нет, куда вирус будет кроме как ядра?

Если не разбираешься в теме, то лучше промолчи. А то глупо выглядит и людей в заблуждение вводит.
Ну и про UEFI малварь и буткиты почитай. Откроешь для себя много нового.
Кстати говоря, дискуссия это и есть обсуждение темы. Никого оно в заблуждение не вводит, а молчать каждый не обязан кроме людей с нерациональным мышлением которые бросают оскорбления сразу. Я просто сказал что не верю, потому что со скольким количеством техники особенно ПК мне пришлось работать я ниразу такого не встречал, поэтому они и есть сверхредкие. На новых биосах может быть, а на старых то куда и кого заражать, если что-то тронуть материнка просто умрёт, либо же вирус туда не вместится.
И ещё, насколько я помню буткиты грузятся после биоса и до загрузки ОС.
 

Pernat1y

Well-known member
05.04.2018
1 443
135
BIT
0
На старых флешках биоса места нет, куда вирус будет кроме как ядра?
Откуда такая инфа? Никто не будет раздувать размер прошивки просто для того, чтобы заполнить всё выделенное хранилище.
Малварь Полезную нагрузку можно в пару десятков Кб уложить. Даже для небольшого хранилища в пару Мб - это мелочь.
Если интересно, то у тов. Cr4sh есть исследования в этом направлении. Элсо, рекомендую почитать про альтернативные БИОСы, типа того-же coreboot.

если что-то тронуть материнка просто умрёт
Опять-же, есть алтернативные/открытые реализации БИОСа, при записи которого никто не умирает (обычно).

Кстати говоря, дискуссия это и есть обсуждение темы.
Обсуждение - это "Я считаю, что такое невозможно, т.к. в БИОС недостаточно места для добавления бекдура".
"Бред, такого быть не может" - это не обсуждение, это какая-то фигня без аргументов.


А ещё ответы без знания темы и желания самому погуглить, это не "помощь" и не "дискуссия". Это просто вред.
 
Последнее редактирование:

SearcherSlava

Red Team
10.06.2017
943
1 260
BIT
157
Братья и Сестры, здравы будьте!

Может кому-то пригодится:
Белоус А.И., Солодуха В.А., Шведов С.В. Программные и аппаратные трояны - способы внедрения и методы противодействия. Первая техническая энциклопедия. В 2-х книгах.
 

slashleak

Member
08.02.2022
11
0
BIT
0
Откуда такая инфа? Никто не будет раздувать размер прошивки просто для того, чтобы заполнить всё выделенное хранилище.
Малварь Полезную нагрузку можно в пару десятков Кб уложить. Даже для небольшого хранилища в пару Мб - это мелочь.
Если интересно, то у тов. Cr4sh есть исследования в этом направлении. Элсо, рекомендую почитать про альтернативные БИОСы, типа того-же coreboot.


Опять-же, есть алтернативные/открытые реализации БИОСа, при записи которого никто не умирает (обычно).


Обсуждение - это "Я считаю, что такое невозможно, т.к. в БИОС недостаточно места для добавления бекдура".
"Бред, такого быть не может" - это не обсуждение, это какая-то фигня без аргументов.


А ещё ответы без знания темы и желания самому погуглить, это не "помощь" и не "дискуссия". Это просто вред.
учту
 

Vlg

Green Team
02.11.2019
117
1
BIT
19
Такс. Боюсь ,что сейчас Pernat1y меня засрёт, но всё же напишу. У меня в старом ПК была также проблема, но с блоком питания и кнопками(лампы горели). Проблема была в материнке. Там толи триггер полетел, толи конденсаторы, толи в пикселях(это электронный клапан). Прикол в том что ток сохранялся внутри конденсаторов и передавались друг другу. Из-за этого блок при нажатии на кнопку не питал ПК(х@ли его начать питать если в пути от блока до кнопки есть электричество, значит я его уже питаю). Проблема решалась вырубанием с резетки/выдергиванием провода питания с блока питания( все конденсаторы тратили электричество на лампочки кнопок ) . Затем врубаю кабель и нажимаю на кнопку питания. Вуаля ПК работает. У тебя также проблема с сетевой картой. Проверь материнке и карту.
 

Crazy Jack

Well-known member
08.07.2017
573
89
BIT
35
Такс. Боюсь ,что сейчас Pernat1y меня засрёт, но всё же напишу. У меня в старом ПК была также проблема, но с блоком питания и кнопками(лампы горели). Проблема была в материнке. Там толи триггер полетел, толи конденсаторы, толи в пикселях(это электронный клапан). Прикол в том что ток сохранялся внутри конденсаторов и передавались друг другу. Из-за этого блок при нажатии на кнопку не питал ПК(х@ли его начать питать если в пути от блока до кнопки есть электричество, значит я его уже питаю). Проблема решалась вырубанием с резетки/выдергиванием провода питания с блока питания( все конденсаторы тратили электричество на лампочки кнопок ) . Затем врубаю кабель и нажимаю на кнопку питания. Вуаля ПК работает. У тебя также проблема с сетевой картой. Проверь материнке и карту.
Есть такая фигня, сам в шоке был. Ставиш новый аккум на материнку, и порядок.
 

D3L1F3R

Red Team
20.02.2022
337
116
BIT
567
Всем привет!

Друзья, есть вопрос: возможно ли заражение БИОС трояном?

Подробней: есть пара старых ноутов, в которых сетевуха сама по себе может оживать после выключения этих ноутов при включении компа или нового ноута) Да. Два ноута юзаю по работе( документы какие - то храню, скрипты на Питоне или на ПХП, копии стареньких проектов и т.д. ), на них стоит Линукс( Parrot Os, если точно. Нравится эта операционка в первую очередь за то, что в коробке куча драйверов, которые на "ура" подходят для моих стареньких ноутов( к примеру, один из них - Lenovo e535 и с дровами на видюху когда - то очень "парился") ), да и радует из коробки уже установленные апач, энжинкс и т.д., и т.п.. Иногда сериалы какие - то смотрю.

Так вот, недавно заметил, что когда ноуты выключаю, а потом через полчаса или час включаю новый ноут или комп, то на роутере обнаруживаю загорание светодиодов, показывающих активность сетевых карт на моих выключенных ноутах.
Залез в настройки ноутов и обнаружил выключенным "Wake on lan". Пытался сам даже отправлять "магические пакеты" на ноуты, думая, что все - таки каким - то образом "wake on lan" включен. Нет, ничего вот также не включается. Вот и думаю. Просто раньше был случай, когда ноуты были взломаны и на них был установлен "вредонос". Попытка пропинговать сеть nmap или отправить arp - запросы, чтобы увидеть активные хосты в сети( с помощью arp-scan --localnet ), или просто запустить Ваяшарк с сетевой картой в "promisc" - режиме, ни к чему не приводят - просто горят светодиоды, но никакого дополнительного трафика я не вижу.

В общем, интересует мнение. Возможно ли в БИОС установить трояна, который по событию включается( ну, т.е. ноут не выключается совсем, а сетевуха снифферит определенный пакет( не "магический" при wake on lan ), который разрабом вируса был указан, и далее включается сетевуха и далее, подключаясь через трояна, через DMA( dirrect memory access ), кто - то на ноут залезть может? Или это я перемудрил с домыслами?
Я точно не могу сказать, но возможно у тебя просто там остаётся остаточное напряжение, или замыкание. Но это тончо не троят для БИОС, тем более для Linux
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!