1

Тема: Поновилися атаки на CMOS BIOS PC

Поновилися атаки на CMOS BIOS PC, які уперше було зафіксовано в 2008 році. Ознаки атаки наступні.
1. Ознака спроби атаки: у момент включення комп'ютера на екрані монітора з'являється повідомлення типу "Unknown code" або "Unprocessed code".
2. Ознака успішної атаки за наявності свіжої батареї живлення CR2032: у момент включення комп'ютера на екрані монітора з'являється повідомлення типу "CMOS Error...".
До речі, саме із-за подібних атак припинила своє існування лінійка комп'ютерів ABIT. Ще в далекому 2012 року канадські експерти встановили, що одній з причин подібних атак були заражені сервера провайдерів Інтернет.

2

Re: Поновилися атаки на CMOS BIOS PC

Я вам наполегливо раджу поміряти температуру. Зараз купа різної зарази ходить.

Подякували: ch0r_t, /KIT\2

3

Re: Поновилися атаки на CMOS BIOS PC

koala написав:

Я вам наполегливо раджу поміряти температуру. Зараз купа різної зарази ходить.

Від зарази одягайте маску і змащуйте в носі оксолиновою маззю.
Наступна пропозиція канадських експертів на англомовному сайті зупинила першу хвилю атак: встановити в налаштуваннях BIOS "Floppy None" і "FDD Controller Disabled". Поява UEFI, можливо, змінила первинний алгоритм атаки на BIOS. Особисто я вже давно на пенсії і не хочу давати на відкритому форумі безкоштовні поради з цієї проблеми.

4

Re: Поновилися атаки на CMOS BIOS PC

Уже цікаво, як саме виглядає атака: квадракоптер з дискетою намагається її запхати у флоповод і натиснути reset?

Подякували: Arete, HetmanNet, leofun013

5 Востаннє редагувалося ch0r_t (22.03.2021 12:48:55)

Re: Поновилися атаки на CMOS BIOS PC

Знайшов тільки згадок про щось подібне (шукав "attacks or hacks UEFI and BIOS") ->
https://answers.microsoft.com/uk-ua/pro … 7452414975
https://arstechnica.com/gadgets/2009/03 … it-attack/
і тут:  https://www.pcworld.com/article/2337180 … s-say.html

Computer manufacturing giant Dell has released a new security tool for its commercial customers that aims to protect their computers from stealthy and sophisticated cyberattacks involving the compromise of the BIOS.

Цитата звідси -> https://thehackernews.com/2020/04/dell- … ction.html
а ще pdf-> https://www.welivesecurity.com/wp-conte … -LoJax.pdf
Погортати текст звісно цікаво...але це щось малоймовірне, скоріше п'яний водій маршрутки зіб'є насмерть.

6

Re: Поновилися атаки на CMOS BIOS PC

koala написав:

Уже цікаво, як саме виглядає атака: квадракоптер з дискетою намагається її запхати у флоповод і натиснути reset?

Навіщо вставляти у флопік дискету? Можна зробити usb емулятор floppy drive. Якщо короткочасно коротнути usb порт на землю то буде reset системи, тож можна значно спростити задачу дрону: досить просто вставити в usb порт пристрій в пару флешок, а той все зробить сам  :D

Подякували: leofun011

7 Востаннє редагувалося frz (22.03.2021 18:59:57)

Re: Поновилися атаки на CMOS BIOS PC

майже офтоп

Ми співавтори першого угандійського вірусу; наша країна поки що лише нарощує багаж знань у комп'ютерній сфері, тому вірус працює в текстовому режиму, в зв'язку з чим звертаємося до вас з проханням: видаліть усі файли на диску ц, після чого надішліть цей лист своєму списку контактів...

8

Re: Поновилися атаки на CMOS BIOS PC

BIOS старих комп'ютерів оновлювався виключно з FDD, можливостями (коди контроллера FDD, буфер Floppy) яких і скористалися зловмисники. Подробиці дізнавайтеся не у мене, а у канадських IT експертів.

9

Re: Поновилися атаки на CMOS BIOS PC

Зловмисники, як правило, не атакують старі комп'ютери: по-перше, їх мало, по-друге, їхні власники, як правило, не мають грошей.
І у "канадських IT-експертів", сподіваюся, є імена і посади? І ці імена й посади якось відрізняються від "мій кореш двірник дядя Валєра"?

10

Re: Поновилися атаки на CMOS BIOS PC

Smolenkov_BN написав:

BIOS старих комп'ютерів оновлювався виключно з FDD, можливостями (коди контроллера FDD, буфер Floppy) яких і скористалися зловмисники. Подробиці дізнавайтеся не у мене, а у канадських IT експертів.

Чого це виключно з FDD? Хіба канадські експерти не сказали Вам що можливо оновлювати ще й напряму програматором, не залежно нова це система чи стара.
Хацкерів такого рівня що можуть змінити режим роботи заліза одиниці. І звичайні користувачі їм не цікаві. То можете не перейматись цим питанням та спати спокійно.

11

Re: Поновилися атаки на CMOS BIOS PC

koala написав:

Зловмисники, як правило, не атакують старі комп'ютери: по-перше, їх мало, по-друге, їхні власники, як правило, не мають грошей.

Я теж раніше так вважав, поки мені не показали комп на Windows NT 3.51 який справно працював у торговій мережі та був під'єднаний до терміналу з кредитними картками. СпортМастер не так давно послуговувався досівською програмою.

Подякували: ch0r_t, leofun012

12 Востаннє редагувалося koala (24.03.2021 09:47:46)

Re: Поновилися атаки на CMOS BIOS PC

Ось невеликий перелік літератури по правильному налаштуванню Windows (мовою оригіналу).
1. СПАМ
2. СПАМ
3. СПАМ
4. СПАМ
5. СПАМ
6. СПАМ
7. СПАМ
8. СПАМ
9. Додаток 2 до телеграми НБУ 24-122/2033
http://www.broadband.org.ua/ot-redaktsi … -na-trafik
10. СПАМ
11. Dizon J,, Galang L., Cruz M. "Understanding WMI Malware", - A Trend Micro Research Paper, July 2010.
12. "WMI Configuration Examples", - Hewlett-Packard Development Company, L.P., 2013.
13. "WMI for Detection and Response", - NCCIC, August 2016.
Інформація трохи застаріла, але містить цілком достатню кількість корисних порад навіть для налаштування Windows 10. При читанні злегка напружуйте звивину мозку, щоб усвідомити окремі недоліки в літературі по пп 7-10. Для загального розвитку по темі наберіть в пошуковій системі фрази "BIOS vulnerability", "CMOS vulnerability", "UEFI vulnerability" і "Вірус в UEFI".
До речі, форум занадто переобтяжений різними IT перевірками, а це трохи дратує.

13

Re: Поновилися атаки на CMOS BIOS PC

Я повидаляв спам, що не відповідав п.1.1 Правил.
Жодне джерело - не канадське. Версія про дядю Валєру стає значно актуальнішою; але все ще лишається невідомим, чому ви його називаєте "канадським". Як молодим був, у Канаду на суховантажі плавав, чи що?

14

Re: Поновилися атаки на CMOS BIOS PC

У кінці своєї кар'єри перед виходом на пенсію я працював на посаді начальника служби АСУ комерційного підприємства. З іншої фірми мені на роботу привезли системний блок на основі материнської плати ABIT з підозрою на несправність CMOS. Після включення комп'ютера видавалося попередження, що встановлений не той процесор, і після декількох хвилин зображення на моніторі пропадало. Увійшовши в BIOS SETUP, я відкрив вікно "PC Heats Status". Температурні і електричні режими були в нормі, окрім "Battery Voltage (+3V) 2.95V", хоча напруга елементу живлення CR2032 складала 3.10V. Отже, захист на материнській платі обмежив напругу на CMOS від модуля живлення "COLORSit Switching Power Supply 400U - GDPJ 480W". Збіглий огляд показав, що модуль встановлений вверх ногами (друкована плата з елементами має бути вгорі). Після демонтажу на стороні доріжок друкованої плати був виявлений товстий шар пилу і дві щільні пилові перемички. Після видалення усього пилу в модулі живлення комп'ютер став працювати в нормальному режимі. Як виявилося, в процесі експлуатації комп'ютер розміщувався на підлозі, де щодня проводилося мокре прибирання.

koala написав:

Я повидаляв спам, що не відповідав п.1.1 Правил.
Жодне джерело - не канадське. Версія про дядю Валєру стає значно актуальнішою; але все ще лишається невідомим, чому ви його називаєте "канадським". Як молодим був, у Канаду на суховантажі плавав, чи що?

Після будь-якої публікації на цьому форумі повторюється один і той же сценарій:
- на першому тижні зменшується швидкість Інтернету;
- на другому тижні зменшується швидкість обслуговування ящика електронної пошти, який зареєстрований на форумі, аж до появи помилки "ERR internal server error".
Хоча давно відомо, що тільки "сонячні діти" можуть використати Інтернет для вихваляння своїх "конфіденційних подвигів".

15

Re: Поновилися атаки на CMOS BIOS PC

Smolenkov_BN написав:

Увійшовши в BIOS SETUP, я відкрив вікно "PC Heats Status". Температурні і електричні режими були в нормі, окрім "Battery Voltage (+3V) 2.95V", хоча напруга елементу живлення CR2032 складала 3.10V.

За якою методикою проводилось дослідження елементу живлення?

Smolenkov_BN написав:

Отже, захист на материнській платі обмежив напругу на CMOS від модуля живлення "COLORSit Switching Power Supply 400U - GDPJ 480W". Збіглий огляд показав, що модуль встановлений вверх ногами (друкована плата з елементами має бути вгорі).

Дуже схожо з маячнею блаженного ))

16

Re: Поновилися атаки на CMOS BIOS PC

Подивився гіперпосилання по помилках CMOS BIOS у своїх архівах на DVD. На мій подив з семи англомовних досі зберігся один 2009 року:
https://www.techspot.com/community/topi … ed.133355/
Replaced my mobo and have warning: CPU has changed
Press DEL to enter the Setup. Select "standard cmos features" (usually the first option).
Where you see drive A, set it to none. Exit, save, and restart.

Подякували: j70robb1

17

Re: Поновилися атаки на CMOS BIOS PC

0xDADA11C7 написав:

Я теж раніше так вважав, поки мені не показали комп на Windows NT 3.51 який справно працював у торговій мережі та був під'єднаний до терміналу з кредитними картками. СпортМастер не так давно послуговувався досівською програмою.

Питання безпеки Windows 95/98/NT активно обговорювалися в мережах FIDONet, RelCom, UseNet і тп. На початку 1998 року учасник обговорення під псевдонімом "Borisko" на моє прохання прислав мені на службову адресу електронної пошти документ:
Secure Windows NT Installation and Configuration Guide
Windows NT for Navy IT-21
November 1997
Department of the Navy
Space and Naval Warfare Systems Command
Naval Information Systems Security Office
PMW 161

Abstract
The objective of this project is to provide the Navy with clear and concise implementation guidance for the secure installation and configuration of the Windows NT 4.0 server and workstation operating systems (OS). This guidance is based on the Navy IT-21 standard and is specific to the Naval Tactical Command Support System (NTCSS) and Joint Maritime Command Information System (JMCIS) local area network (LAN) architectures. This guide covers pre-installation, server and workstation OS installation, and post-installation steps for securing a Windows NT domain. The post-installation portion includes instructions for C2 configuration, auditing, securing the registry, managing the file system, creating system policies and user profiles, controlling user accounts and rights, maintaining system repair data, and installing current service packs and hotfixes.
Keywords:  Secure Windows NT 4.0 Configuration Guide Navy IT-21.

Цим документом ми і користувалися аж до переходу на Windows 2000.

Droid 77 написав:

За якою методикою проводилось дослідження елементу живлення?

Із цього приводу я згадав анекдот:
Завуч школи попросив учителя рідної мови і літератури замінити учителя фізики. Почався урок фізики. Учитель учневі:
- Чим вимірюють електричну напругу?
- Напругометром!
- Сідайте, Вам "відмінно"!

А Ви, випадково, не гуманітарій?

18 Востаннє редагувалося koala (06.04.2021 13:41:24)

Re: Поновилися атаки на CMOS BIOS PC

Smolenkov_BN написав:

учасник обговорення під псевдонімом "Borisko"

Схоже, "канадський експерт" знайшовся.

Подякували: leofun011