press root to continue detecting osx and windows bootkits
play

PRESS ROOT TO CONTINUE: DETECTING OSX AND WINDOWS BOOTKITS WITH RDFU - PowerPoint PPT Presentation

Jun 14, 2023 •424 likes •906 views

Mario Vuksan & Tomislav Pericin BlackHat USA 2013, Las Vegas PRESS ROOT TO CONTINUE: DETECTING OSX AND WINDOWS BOOTKITS WITH RDFU Agenda Our mo'va'on Who are we Introduc'on to Unified

  1. Mario Vuksan & Tomislav Pericin BlackHat USA 2013, Las Vegas PRESS ROOT TO CONTINUE: DETECTING OSX AND WINDOWS BOOTKITS WITH RDFU

  2. Agenda • Our ¡mo'va'on ¡ • Who ¡are ¡we ¡ • Introduc'on ¡to… ¡ • Unified ¡extensible ¡framework ¡interface ¡(UEFI) ¡ • Previous ¡UEFI ¡bootkit ¡research ¡ • Rootkit ¡detec'on ¡framework ¡“RDFU” ¡ • Framework ¡design ¡ • VMWare ¡implementa'on ¡demo ¡ • MacOS ¡X ¡bootkit ¡demo ¡

  3. Our motivation • UEFI ¡is ¡very ¡popular ¡ • Windows ¡+ ¡Android ¡+ ¡MacOS ¡+ ¡… ¡ • Full-­‑stack: ¡UEFI ¡is ¡a ¡mini-­‑OS ¡ • Memory ¡and ¡file ¡manipula'on, ¡full ¡network ¡stack ¡ • Graphics ¡APIs, ¡device ¡management ¡ • Remote ¡boot ¡ • ASacker’s ¡paradise ¡ • No ¡tools ¡for ¡analysis, ¡low ¡visibility, ¡… ¡ • Some ¡good ¡news ¡though ¡ • UEFI ¡SecureBoot ¡(Surface ¡RT, ¡Android) ¡

  4. Who are we • ReversingLabs ¡ • Founded ¡by ¡Mario ¡Vuksan ¡and ¡Tomislav ¡Pericin ¡in ¡2009 ¡ • Focusing ¡on ¡ • Deep ¡binary ¡analysis ¡of ¡ PE/ELF/Mach-­‑O/DEX ¡and ¡firmware ¡ • System ¡reputa'on ¡and ¡anomaly ¡detec'ons ¡ • Black ¡Hat ¡presenta'ons ¡and ¡open ¡source ¡projects ¡ • TitanEngine: ¡PE ¡reconstruc'on ¡library ¡(2009) ¡ • NyxEngine: ¡Archive ¡format ¡stego ¡detec'on ¡tool ¡(2010) ¡ • TitanMist: ¡Unpacking ¡(2010) ¡ • Unofficial ¡guide ¡to ¡PE ¡malforma'ons ¡(2011) ¡ • FDF: ¡disinfec'on ¡framework ¡(2012) ¡ • RDFU: ¡UEFI ¡rootkit ¡detec'on ¡framework ¡(2013) ¡

  5. Thanks • DARPA ¡CFT ¡for ¡sponsoring ¡the ¡project ¡ • Researchers: ¡ • John ¡Heasman, ¡Black ¡Hat ¡2007 ¡ • Snare, ¡Assurance, ¡Black ¡Hat ¡ ¡2012 ¡ • Dan ¡Griffin, ¡Defcon ¡2012 ¡ • Sebas'en ¡Kaczmarek, ¡HITB ¡Amsterdam ¡2013 ¡

  6. UEFI unified extensible firmware interface

  7. Booting with BIOS BIOS ¡ REAL ¡MODE ¡ MBR ¡ (16 ¡bit) ¡ NTLDR ¡ NTOSKRNL.EXE ¡ KERNEL ¡ HAL ¡ SMS ¡ USERLAND ¡ WIN32 ¡

  8. UEFI? • UEFI : ¡Unified ¡extensible ¡firmware ¡interface ¡ • Originally ¡developed ¡by ¡Intel, ¡“Intel ¡boot ¡ini'a've” ¡ • Community ¡effort ¡to ¡modernize ¡PC ¡boo'ng ¡process ¡ • Currently ¡ships ¡as ¡a ¡boot ¡op'on ¡alongside ¡legacy ¡BIOS ¡ • Aims ¡to ¡be ¡the ¡only ¡boo'ng ¡interface ¡in ¡the ¡future ¡ • Used ¡in ¡all ¡Intel ¡Macs ¡and ¡other ¡PC ¡motherboards ¡ • Managed ¡by ¡Unified ¡Extensible ¡Firmware ¡Interface ¡ (UEFI) ¡Forum ¡

  9. Booting with EFI UEFI ¡ UEFI ¡bootloader ¡ PROTECTED ¡MODE ¡ \EFI\Microsoj\Boot\bootmgfw.efi ¡ winload.efi ¡ NTOSKRNL.EXE ¡ KERNEL ¡ HAL ¡ SMS ¡ USERLAND ¡ WIN32 ¡

  10. UEFI Conceptual overview Opera'ng ¡system ¡ EFI ¡Opera'ng ¡system ¡loader ¡ EFI ¡run'me ¡ EFI ¡Boot ¡services ¡ services ¡ Other ¡interfaces ¡ (ACPI, ¡SMBIOS…) ¡ EFI ¡ Plakorm ¡hardware ¡ par''on ¡

  11. EFI boot sequence EFI ¡Driver ¡ EFI ¡Applica'on ¡ EFI ¡Boot ¡code ¡ OS ¡Loader ¡ Boot ¡service ¡ EFI ¡OS ¡loader ¡ Plakorm ¡init ¡ EFI ¡image ¡load ¡ terminates ¡ load ¡ Standard ¡firmware ¡ini'aliza'on ¡ Drivers ¡and ¡applica'ons ¡loaded ¡ Boot ¡from ¡ordered ¡EFIOS ¡list ¡ Opera'ons ¡handed ¡off ¡to ¡OS ¡ Boot ¡Manager ¡ EFI ¡images ¡

  12. UEFI images • UEFI ¡images: ¡ • Typically ¡PE32/PE32+ ¡(basic ¡format ¡feature ¡subset) ¡ • Standard ¡also ¡predicts ¡that ¡other ¡formats ¡can ¡be ¡ defined ¡by ¡anyone ¡implemen'ng ¡the ¡specifica'on, ¡e.g. ¡ TE ¡defined ¡by ¡Intel ¡and ¡used ¡by ¡Apple ¡

  13. UEFI images • UEFI ¡drivers: ¡ • Boot ¡service ¡driver ¡ • Terminated ¡once ¡ExitBootServices() ¡is ¡called ¡ • Run'me ¡service ¡driver ¡ • UEFI ¡applica'ons: ¡ • EFI ¡applica'on ¡ • Normal ¡EFI ¡applica'ons ¡must ¡execute ¡in ¡pre-­‑boot ¡environment ¡ • OS ¡loader ¡applica'on ¡ • Special ¡UEFI ¡applica'on ¡that ¡can ¡take ¡control ¡of ¡the ¡system ¡by ¡ calling ¡ExitBootServices() ¡

  14. UEFI Boot services • UEFI ¡boot ¡services: ¡ • Consists ¡of ¡func'ons ¡that ¡are ¡available ¡before ¡ ExitBootServices() ¡is ¡called ¡ • These ¡func'ons ¡can ¡be ¡categorized ¡as ¡“global”, ¡“handle ¡ based” ¡and ¡dynamically ¡created ¡protocols ¡ • Global ¡– ¡System ¡services ¡available ¡on ¡all ¡plakorms ¡ • Event, ¡Timer ¡and ¡Task ¡Priority ¡services ¡ • Memory ¡alloca'on ¡services ¡ • Protocol ¡handler ¡services ¡ • Image ¡services ¡ • Miscellaneous ¡services ¡ • Handle ¡based ¡ – ¡Specific ¡func'onally ¡not ¡available ¡everywhere ¡

  15. UEFI Runtime services • UEFI ¡run'me ¡services: ¡ • Consists ¡of ¡func'ons ¡that ¡are ¡available ¡before ¡and ¡ajer ¡ ExitBootServices() ¡is ¡called ¡ • These ¡func'ons ¡can ¡be ¡categorized ¡as ¡“global”, ¡“handle ¡ based” ¡and ¡dynamically ¡created ¡protocols ¡ • Global ¡– ¡System ¡services ¡available ¡on ¡all ¡plakorms ¡ • Run'me ¡rules ¡and ¡restric'ons ¡ • Variable ¡services ¡ • Time ¡services ¡ • Virtual ¡memory ¡services ¡ • Miscellaneous ¡services ¡ • Handle ¡based ¡ – ¡Specific ¡func'onally ¡not ¡available ¡everywhere ¡

  16. EDK2 • EFI ¡development ¡kit ¡ • TianoCore ¡– ¡Intel’s ¡reference ¡implementa'on ¡ • Enables ¡wri'ng ¡EFI ¡applica'ons ¡and ¡drivers ¡in ¡C ¡ • Has ¡its ¡own ¡stdlibC ¡implementa'on ¡that ¡covers ¡a ¡part ¡of ¡the ¡ standard ¡library ¡ • Has ¡a ¡set ¡of ¡packages ¡for ¡shell, ¡crypto, ¡emula'on ¡and ¡more ¡ • Has ¡a ¡set ¡of ¡applica'ons ¡built ¡with ¡stdlibC ¡implementa'on ¡ • For ¡example: ¡Python ¡2.7 ¡ • Has ¡a ¡build ¡system ¡which ¡uses ¡popular ¡compilers ¡(VS, ¡ GCC ¡and ¡XCode) ¡ • Supported ¡CPUs: ¡IA64, ¡x86-­‑64 ¡and ¡ARM ¡

  17. EDK2 – HelloWorld.c /*** ¡ ¡ ¡Print ¡a ¡welcoming ¡message. ¡ ¡ ¡ ¡Establishes ¡the ¡main ¡structure ¡of ¡the ¡applica'on. ¡ ¡ ¡ ¡@retval ¡ ¡0 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡The ¡applica'on ¡exited ¡normally. ¡ ¡ ¡@retval ¡ ¡Other ¡ ¡ ¡ ¡ ¡An ¡error ¡occurred. ¡ ***/ ¡ INTN ¡ EFIAPI ¡ ShellAppMain ¡( ¡ ¡ ¡IN ¡UINTN ¡Argc, ¡ ¡ ¡IN ¡CHAR16 ¡**Argv ¡ ¡ ¡) ¡ { ¡ ¡ ¡Print(L"Hello ¡there ¡fellow ¡Programmer.\n"); ¡ ¡ ¡Print(L"Welcome ¡to ¡the ¡world ¡of ¡EDK ¡II.\n"); ¡ ¡ ¡ ¡return(0); ¡ } ¡

  18. UEFI - HelloWorld.c /*** ¡ ¡ ¡Print ¡a ¡welcoming ¡message. ¡ ¡ ¡ ¡Establishes ¡the ¡main ¡structure ¡of ¡the ¡applica'on. ¡ ¡ ¡ ¡@retval ¡ ¡0 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡The ¡applica'on ¡exited ¡normally. ¡ ¡ ¡@retval ¡ ¡Other ¡ ¡ ¡ ¡ ¡An ¡error ¡occurred. ¡ ***/ ¡ INTN ¡ EFIAPI ¡ UEFIAppMain ¡( ¡ ¡ ¡IN ¡EFI_HANDLE ¡ImageHandle, ¡ ¡ ¡IN ¡EFI_SYSTEM_TABLE ¡*SystemTable ¡/** ¡Boot ¡and ¡Run'me ¡services ¡**/ ¡ ) ¡ { ¡ ¡ ¡Print(L"Hello ¡there ¡fellow ¡Programmer.\n"); ¡ ¡ ¡ ¡return(0); ¡ } ¡

  19. Bootkits attacking unified extensible firmware interface

  20. Previous work – ‘07 • Hacking ¡extensible ¡firmware ¡interface ¡ • John ¡Heasman, ¡NGS ¡Consul'ng ¡ • Presented ¡at ¡BlackHat ¡2007, ¡USA ¡ • Research ¡ • Modifying ¡NVRAM ¡variables ¡ • Code ¡injec'on ¡aSacks ¡ • Shimming ¡boot ¡services ¡ • Abusing ¡system ¡management ¡mode ¡

  21. Previous work – ‘12 • Hacking ¡extensible ¡firmware ¡interface ¡ • Snare, ¡Assurance ¡ • Presented ¡at ¡BlackHat ¡2012, ¡USA ¡ • Research ¡ • Patching ¡MacOS ¡X ¡kernel ¡ • Evil ¡maid ¡aSack ¡

Recommend

PRESS ROOT TO PRESS ROOT TO CONTINUE: PRESS ROOT TO PRESS ROOT TO CONTINUE: PRESS ROOT TO

PRESS ROOT TO PRESS ROOT TO CONTINUE: PRESS ROOT TO PRESS ROOT TO CONTINUE: PRESS ROOT TO

Mario Vuksan & Tomislav PericinBlackHat USA 2013, Las Vegas PRESS ROOT TO PRESS ROOT TO CONTINUE: PRESS ROOT TO PRESS ROOT TO CONTINUE: PRESS ROOT TO PRESS ROOT TO PRESS ROOT TO PRESS ROOT TO CONTINUE: CONTINUE: CONTINUE: CONTINUE:

690 views • 45 slides
Attacking the Windows Kernel Below The Root Jonathan Lindsay, Reverse Engineer in extremis

Attacking the Windows Kernel Below The Root Jonathan Lindsay, Reverse Engineer in extremis

Attacking the Windows Kernel Below The Root Jonathan Lindsay, Reverse Engineer in extremis Introduction Limited to Windows, and aimed at IA32: Outline of protected mode and the kernel Attack vectors Useful tools Examples

672 views • 36 slides
Support for Multilingual Windows Web Apps (WWA) and HTML 5 in Windows 8 Jan Anders Nelson Senior

Support for Multilingual Windows Web Apps (WWA) and HTML 5 in Windows 8 Jan Anders Nelson Senior

Support for Multilingual Windows Web Apps (WWA) and HTML 5 in Windows 8 Jan Anders Nelson Senior Program Manager Lead Microsoft Corporation Windows 8: Using the language you want More languages than ever before Microsoft will continue to

338 views • 10 slides
Windows Not just for houses Windows 1-10 Windows Server Essentially a jacked up windows 8 box

Windows Not just for houses Windows 1-10 Windows Server Essentially a jacked up windows 8 box

Windows Not just for houses Windows 1-10 Windows Server Essentially a jacked up windows 8 box - Still GUI based - Still makes no sense - No start menu :( - (Install classic shell)... trust me... Windows Server What can it do? - Email

1.06k views • 37 slides
Stoned dj vu again Peter Kleissner, Michael Eisendle Agenda Introduction to bootkits

Stoned dj vu again Peter Kleissner, Michael Eisendle Agenda Introduction to bootkits

Stoned dj vu again Peter Kleissner, Michael Eisendle Agenda Introduction to bootkits The new features Remote Surveillance Software Live Demo TPMkit Who we are Peter Kleissner: - Independent Operating System Developer - 1 year at

843 views • 23 slides
Detecting Fileless Malicious Behaviour of .NET C2 Agents using ETW Supervisors: Course:

Detecting Fileless Malicious Behaviour of .NET C2 Agents using ETW Supervisors: Course:

Detecting Fileless Malicious Behaviour of .NET C2 Agents using ETW Supervisors: Course: Authors: Leandro Velasco Research Project 1 Alexander Bode Joao de Novais Marques Niels Warnars Introduction Event Tracing for Windows Enables

781 views • 40 slides
Engaging with the Press What You Need to Know 5 Things You Should Know 1. Press room is only

Engaging with the Press What You Need to Know 5 Things You Should Know 1. Press room is only

Engaging with the Press What You Need to Know 5 Things You Should Know 1. Press room is only accessible to credentialed press. 2. Press announcements and releases should be posted to the Online Press Office. Press room is paperless. 3.

355 views • 9 slides
12/6/2013 Detecting Fakes Image Forensics: Detecting Forged Photos 1.Detecting photorealistic

12/6/2013 Detecting Fakes Image Forensics: Detecting Forged Photos 1.Detecting photorealistic

12/6/2013 Detecting Fakes Image Forensics: Detecting Forged Photos 1.Detecting photorealistic graphics 2.Detecting manipulated images Photo manipulation is the application of image editing techniques to photographs in order to create an

306 views • 13 slides
Windows Not Just For Houses Everyone Uses Windows! Versions of Windows 10 There are multiple

Windows Not Just For Houses Everyone Uses Windows! Versions of Windows 10 There are multiple

Windows Not Just For Houses Everyone Uses Windows! Versions of Windows 10 There are multiple different versions of Windows 10 that support different features The version of Windows that we will be using is Enterprise edition This

973 views • 53 slides
Certicate Transparency Root Explorer Nikita Korzhitskii Niklas Carlsson Web Public Key

Certicate Transparency Root Explorer Nikita Korzhitskii Niklas Carlsson Web Public Key

Certicate Transparency Root Explorer Nikita Korzhitskii Niklas Carlsson Web Public Key Infrastructure (WebPKI) Root certificates of trusted Certificate Authorities e.g. GlobalSign Root CA, Amazon Root CA, GoDaddy Root CA Root 1 Root 2

347 views • 19 slides
Windows 8 Heap Internals Windows 8 Heap Internals Windows 8 Heap Internals INTRODUCTION Windows 8

Windows 8 Heap Internals Windows 8 Heap Internals Windows 8 Heap Internals INTRODUCTION Windows 8

Windows 8 Heap Internals Windows 8 Heap Internals Windows 8 Heap Internals INTRODUCTION Windows 8 Heap Internals Who Chris Valasek (@nudehaberdasher) Sr. Research Scientist Coverity Tarjei Mandt (@kernelpool) Vulnerability

1.33k views • 91 slides
Scaling the Root A study of the impact on the DNS root system of increasing the size and

Scaling the Root A study of the impact on the DNS root system of increasing the size and

Scaling the Root A study of the impact on the DNS root system of increasing the size and volatility of the root zone Jaap Akkerhuis Lyman Chapin Patrik Fltstrm Glenn Kowack Bill Manning Lars-Johan Liman Summary of Findings Root Scaling

558 views • 20 slides
Root Cause Analysis 1 Root Cause Analysis Root Cause Analysis is a method that is used to

Root Cause Analysis 1 Root Cause Analysis Root Cause Analysis is a method that is used to

Root Cause Analysis 1 Root Cause Analysis Root Cause Analysis is a method that is used to address a problem or non-conformance, in order to get to the root cause of the problem. It is used so we can correct or eliminate the cause,

389 views • 28 slides
EMS RAM PUMPS EMS RAM PUMPS INDUSTRIES LTD INDUSTRIES LTD Press ENTER to continue EMS

EMS RAM PUMPS EMS RAM PUMPS INDUSTRIES LTD INDUSTRIES LTD Press ENTER to continue EMS

EMS EMS EMS RAM PUMPS EMS RAM PUMPS INDUSTRIES LTD INDUSTRIES LTD Press ENTER to continue EMS Industries Ltd EMS Industries Ltd Manufacturing Engineering Solutions RAM PUMPS CAN SAVE SAVE RAM PUMPS CAN ENERGY AND MONEY ENERGY AND MONEY

301 views • 27 slides
mc-a ISSUED DATE McAlpine Architecture PC (T) E-mail: 34-26 Street 212.366 .0700

mc-a ISSUED DATE McAlpine Architecture PC (T) E-mail: 34-26 Street 212.366 .0700

WINDOWS TO BE REPLACED, APT. 508/509 UPPER SASH OF BATHROOM WINDOW WINDOWS TO BE REPLACED, APT. 508/509 WINDOWS TO BE REPLACED, APT. 508/509 WINDOWS TO BE REPLACED, APT. 508/509 WITH LOUVER IN PLACE OF GLASS FOR A/C mc-a mc-a mc-a mc-a

217 views • 8 slides
Windows NT Security Windows 95, 3.1, 3.11 are basically DOS and they have no security

Windows NT Security Windows 95, 3.1, 3.11 are basically DOS and they have no security

Windows NT Security Windows 95, 3.1, 3.11 are basically DOS and they have no security whatsoever. Windows NT has security features, especially as a computer in a network. Security of Windows NT should be understood correctly. In

592 views • 31 slides
Detecting Chang Detecting Changes in W s in Water ter Qua Q ualit lity i lit lit i in L

Detecting Chang Detecting Changes in W s in Water ter Qua Q ualit lity i lit lit i in L

Detecting Chang Detecting Changes in W s in Water ter Qua Q ualit lity i lit lit i in L i L L Long ong I I Islan I l and S d S d S d Soun ound d with with NERACOOS Buoy y Observations James ODonnell, Todd Fake, Kay

815 views • 26 slides
Roadmap for Section B A Brief History of Windows and Linux Comparing the Windows and Linux kernel

Roadmap for Section B A Brief History of Windows and Linux Comparing the Windows and Linux kernel

Unit OS B: Comparing the Linux and Windows Kernels Windows Operating System Internals - by David A. Solomon and Mark E. Russinovich with Andreas Polze Roadmap for Section B A Brief History of Windows and Linux Comparing the Windows and Linux

430 views • 25 slides
1. 2. 3. 1. 2. 3. Windows 10 IoT Core Universal Windows Platform (UWP) Microsoft Azure v7

1. 2. 3. 1. 2. 3. Windows 10 IoT Core Universal Windows Platform (UWP) Microsoft Azure v7

1. 2. 3. 1. 2. 3. Windows 10 IoT Core Universal Windows Platform (UWP) Microsoft Azure v7 v8 Windows Embedded Standard One core Multiple SKUs v8. Windows Embedded 1 Windows 10 Windows Embedded Handheld Converged OS kernel Converged

1.08k views • 60 slides
Download this app for free Available for iOS Android Windows phones Awareness and promotion

Download this app for free Available for iOS Android Windows phones Awareness and promotion

Download this app for free Available for iOS Android Windows phones Awareness and promotion Stage I Soft Launch- which will start from app stores approval and continue 30 days after. Soft launch campaign will cover Social media channels, Direct

375 views • 14 slides
Poison Ivy for Incident Responders Andreas Schuster Poison Ivy in the Press What is Poison

Poison Ivy for Incident Responders Andreas Schuster Poison Ivy in the Press What is Poison

Poison Ivy for Incident Responders Andreas Schuster Poison Ivy in the Press What is Poison Ivy? Poison Ivy is a Powerful RAT Target platform: Microsoft Windows, 32bit System information and manipulation Keyword search Password

778 views • 55 slides
Square Root of Not: Square Root of Not: . . . A Major Difference Between Square Root of

Square Root of Not: Square Root of Not: . . . A Major Difference Between Square Root of

Quantum Mechanics Quantum Logic Alternative Quantum . . . Square Root of Not: . . . Square Root of Not: Square Root of Not: . . . A Major Difference Between Square Root of Not Is . . . Why Factoring Large . . . Fuzzy and Quantum

381 views • 17 slides
Getting the most out of the ROOT tutorials Automated conversion from ROOT macros to Jupyter

Getting the most out of the ROOT tutorials Automated conversion from ROOT macros to Jupyter

Getting the most out of the ROOT tutorials Automated conversion from ROOT macros to Jupyter notebooks Pau Miquel, Summer 2016 Supervisors: Pere Mat, Danilo Piparo 1 / 24 Outline 1. Overview 2. ROOT Tutorials 3. Conversion a. Steps

746 views • 30 slides
Windows 8/RT and Wine Admittedly not usually ARM-specific Ridiculous Terminology MS

Windows 8/RT and Wine Admittedly not usually ARM-specific Ridiculous Terminology MS

Windows 8/RT and Wine Admittedly not usually ARM-specific Ridiculous Terminology MS introduced a mess of new terms for Windows 8, and I have to go through them so we dont get confused. Windows RT: An edition of Windows 8 that runs on

389 views • 8 slides

More recommend