Upgrade to Pro — share decks privately, control downloads, hide ads and more …

跟壞鄰居想的一樣,供應鏈安全與硬體後門

 跟壞鄰居想的一樣,供應鏈安全與硬體後門

「Thinking Like Bad Neighbours, Supply Chain Security and Hardware Backdoor」

提供檢測方案,Hardware Blue Team :)

請聯繫 : info[at]Funny.Systems

D69e77fd50edf1a9c6d5ffcddd03dd90?s=128

Funny Systems

October 06, 2018
Tweet

Transcript

  1. 跟壞鄰居想的一樣

  2. 法泥系統 » Funny Systems 1. Foxbat Lab (狐蝠實驗室,專攻「訊號安全」) • •

    • 2. 深度滲透、漏洞研究 • 大規模影響 • 自動化攻擊 • 至少覆蓋全球 10 % 數位通訊 嵌入系統 感測元件 info@Funny.Systems
  3. 硬體後門假想敵 Hardware Red Team

  4. 領域知識 元件 特性 惡意 硬體 惡意 韌體 逆向 工程 系統

    安全 訊號 安全 嵌入式 攻防 惡意 軟體
  5. 知識庫

  6. 學術方法 vs. 實務作法

  7. 硬體後門假想敵 • 整理網路消息,評估其可能性 • 根據有限資訊,推理可能的手法 • 了解可能的植入手法和汙染過程 – 設計量測方法 –

    籌獲應變能力 info@Funny.Systems
  8. Q: A: 有人說這麼小的晶片,有這麼多能力,是 黑科技,這是從研發角度,甚麼都要自己做來 說 從惡意攻擊角度來說,最大可能利用系統 已有功能 集成,也可以是整合,代表使用多方元件 的能力 info@Funny.Systems

  9. Q: A: 這些都是從外觀和經驗來分享,而不是從 能力來解釋 經驗可能受限制於,分享者自身經歷、工 作領域差異 info@Funny.Systems

  10. Q: A: 所以一堆人說這是(通訊用)濾波器 確實,在硬體木馬研究的一個分支,研究 的是利用訊號的溢波、回射,進行資訊外洩, 方向上來說,是由內向外 但這都不能解釋,如何由外向內,控制目 標電腦 另外,這個方法是短距離,必須有戰術小 組在幾百米的距離內截收、遙控

    info@Funny.Systems
  11. Q: A: 確實,直接燒修改過的韌體,是技術成熟 又實務方便的 但要考慮幾個點: 1. 韌體更新怎麼辦 2. 韌體讀取、比對怎麼辦,尤其事涉全球型 科技公司和高敏感單位

    有沒有混合的做法呢? info@Funny.Systems
  12. 硬體後門假想敵 • 篩選條件 – 晶片尺寸米粒大小,篩掉高速匯流排支持 • SPI • LPC •

    ? info@Funny.Systems
  13. BIOS, Bootkit, UEFI info@Funny.Systems

  14. BIOS, Bootkit, UEFI 新聞不是才剛剛報過嗎?XDD LoJax info@Funny.Systems

  15. None
  16. Intel AMT, ME info@Funny.Systems

  17. Intel AMT, ME • 伺服器,是否還帶有 ME? – 不確定 • 相容性問題,

    ME 經歷過至少 3 種處理器 架構和不同作業系統核心 info@Funny.Systems
  18. Intel AMT, ME • 演算法問題, ME 的韌體和檔案系統被 Huffman 演算法處理過,演算法參數 (Huffman

    Table) 是秘密的,藏在 ME 晶片內, 執行的時候在晶片內解壓縮 – 俄國人後來找到解壓縮方法 • 不同版本 ME ,解壓縮方法不同 – 能解壓縮,不代表能壓縮回去 • 不能壓縮,你就不能重打包,就無法植入可執行韌體 • 壓縮,其實是類密碼學難度問題 info@Funny.Systems
  19. Intel DCI, ITP info@Funny.Systems

  20. Intel DCI, ITP • Intel 架構,最新一代的 Hardware ICE/Probe/JTAG • 使用

    USB 3 通訊,高速 I/O – 惡意晶片,須能模擬 Host 端, IP Core 可以商購 – 惡意晶片,須有微處理器 (MPU) 能力 – 尺寸? • 相容性問題,不同 CPU Model ,Target 有不 同的配置 info@Funny.Systems
  21. 還有沒有其他種可能? 賣個關子,後面一起談 info@Funny.Systems

  22. x86 Family 以外的可能性? info@Funny.Systems

  23. None
  24. 模仿一個 BMC? 尺寸問題 ASPEED 晶片 19mmx19mm 355-pin info@Funny.Systems

  25. 同廠牌 BMC 控制晶片示意圖

  26. Q: A: 參考前一張的 Diagram 和 Programming Guide BMC 能夠存取 System

    Memory 的元件, 是它的 Ethernet MAC Controller BMC 自己也是一個 IP KVM ,可以模擬 Terminal Console 操作 info@Funny.Systems
  27. 那麼 BMC 要從哪下手? info@Funny.Systems

  28. 同廠牌 BMC 控制晶片腳位

  29. LPC, UART & JTAG • 使用低速 I/O – 惡意晶片,僅須有微控制器 (MCU)

    能力, IP Core 可以商購 – 惡意晶片,須有 I/O Bus, IP Core 可以商購 – 尺寸, 有機會 – 連(外)網能力、(主)記憶體存取能力,BMC 都自 帶 ,惡意晶片僅須能夠建立通道 (C&C Tunnel) info@Funny.Systems
  30. 一切都是剛剛開始 info@Funny.Systems

  31. Intel Family & BMC 都通用的方式

  32. Flash ROM • 惡意的、外掛的 • 尺寸? – 米粒大小,推估不超過 8MB,需重複使用原本的 Flash

    ROM 裡面的韌體 • 旁路?中間人? – FlashROM 是儲存元件,如何切換硬體?如何獲 得控制權? info@Funny.Systems
  33. 說到控制權 了解元件特性很重要 info@Funny.Systems

  34. 同廠牌 BMC 控制晶片能力 • 可以支援 3 顆 Flash 記憶體 info@Funny.Systems

  35. 硬體後門應變小組 Hardware Blue Team

  36. 領域知識 硬體 旁通道 惡意 硬體 惡意 韌體 電子 量測 系統

    安全 訊號 安全 威脅 獵捕 惡意 軟體
  37. 知識庫

  38. 檢測方案 • (免費)資格條件 – 2015 年起,高機敏系統或其網段,曾遭入侵 – 使用 MicroBlade 系列產品

    info@Funny.Systems
  39. 電子的問題 電子解 專門儀器 & 量測方法 info@Funny.Systems 高可信系統

  40. 威脅獵捕 info@Funny.Systems

  41. (攻擊者)怎麼知道 MicroBlade 使用者 使用的作業系統和版本 info@Funny.Systems

  42. 植入(針對性)Payload前 需要先回傳 C2 目標的資訊 從硬體、韌體角度 info@Funny.Systems

  43. 看了這麼多 還是不確定是不是中招 底下這個信箱很不錯 info@Funny.Systems

  44. 建立好的防守 比攻擊更困難

  45. None