新しいUEFI規格では、人（オペレーター）の物理的な存在が、さまざまな種類のキー（ダウンロードしたソフトウェアの有効性を検証する）を変更したり、誤ったバージョンのBIOSを埋めたりすることにより、マルウェアによる自動アクションから保護するのに役立つことが示唆されています



ロジックは次のとおりです。キーボードからの物理的な確認のみで、これらのアクション（何でもダウンロードできるようにする）を許可します。 同様に、単一の悪意のあるウイルスが物理的にBIOSキーボードのボタンを押すことはできません。



ここで、USBデバイスのファームウェアを破壊して、必要なボタンの組み合わせを送信する可能性についても考慮しません。



組み込みのKVMを使用したIPMIやiLOなどの恐ろしいことについてお話ししたいと思います。 また、最新のサーバーハードウェアでは、「物理的存在」のタスクがどれほど簡単かがわかります。



それでは、IPMIを見てみましょう。 例として、私はIPMIを搭載した最初の実験装置を使用しました。 彼は何を提供しますか？



1）マザーボード上の別個のネットワークインターフェイス。

2）メインコンピューターとは独立して動作する、電源からのスタンバイ電圧で駆動する別のコンピューター。

3）メインコンピューターの組み込みの電源管理機能（電源オン、電源オフ、リセット）

4）IPMI（ビデオキャプチャカードと仮想マウスおよびキーボード。仮想フロッピーおよび光ディスクを接続することもできます）。



これはすべて良い目的のために行われました。 これにより、システム管理者は、職場を離れずに、モニターとキーボードを接続したかのようにコンピューターを見ることができます。 デバイスのIPMI IPアドレスに移動し、「リモートコンソール」を突くだけで、画面に表示されます。 BIOSメニューを含めて、注意してください。



IPMIは通常の（やや弱い）コンピューターであるため、独自のsshがあります。



行きましょう。



あるモデルでは、オプションのあるテキストメニューからかなり貧弱な光景が見えます。

しかし、第二に...

 BusyBox v1.1.3（2009.08.12-22：19 + 0000）組み込みシェル（灰）
組み込みコマンドのリストを表示するには、「help」と入力します。

  ＃uname -a
 Linux SMC003048F209F5 2.6.24-ami＃1 Wed Aug 12 15:18:58 PDT 2009 armv5tejl unknown

はい、はい、あなたは正しく理解しました。 通常のLinux。 作業コマンドを使用して、実行可能ファイルをコピーして実行できるディレクトリ。



しかし、パスワードがあります！



IPMIデバイスにより、ホストから制御できます。



ipmitool -I open user set password 2 ADMIN mynewpass









さて、ウォームリブート、コールドリブートなどのその他のこと 原則として、ファームウェアのバージョンをダウンロードする機会もあります。

攻撃シナリオ

1.ブートの穴とローカルの権限昇格を介して、マルウェアはルートになります。

2.ソフトウェアは、サーバーハードウェア構成のモジュールを検出してロードします。

3.ソフトウェアがIPMIとのネットワーク接続を確立する（アドレスを表示できる）か、単にファームウェアを置き換えてIPMIを再起動する

4. IPMIのソフトウェアは、マザーボードからのPOSTコードをリッスンし、再起動を待ちます。

5.再起動すると、キーストロークがキーボードに送信されます（OCR'a写真の魔法と、ハックへの人間の参加は除外されます）。

6.キーストローク（注、特定のBIOSモデルに対してキーストロークが選択され、侵入段階でモジュールとしてダウンロードされる）により、bluepill（ルートキットハイパーバイザー）のキーが信頼できるキーとして確立されます。

7. Malvaryaはすべての主要なトレースを完全に削除します（それ自体はIPMIで、それ自体はPHPの形式であり、カーネルに悪用されます）

8.利益????



なんでこんなこと？



さらに、最新のサーバーテクノロジーの条件では、自動コード実行に対する保護として「物理的存在」に依存することは不可能です。