Get best of the week

[车间] DMA攻击在实践中。通过直接内存访问来利用


2020年2月1日,星期六,我们在莫斯科Hackspace Neuron中举办有关DMA攻击实际使用的大师班。我们将一起攻击具有模拟ATM或付款终端的加密文件系统的真实计算机。

领导研讨会ValdikSSMaxim Goryachy酒吧后面是Pavel Zhovner



直接内存访问(DMA)-计算机设备的低级操作模式,涉及直接访问计算机的RAM。PCIe,Thunderbolt和其他一些设备需要使用它。在正常情况下,DMA用于更快地访问内存,以免占用处理器。

攻击者可以使用特殊的“邪恶”设备来控制PCIe总线,并获得对运行中的计算机内存的完全读取和写入访问权限,即使系统受到软件的保护也不会受到攻击。

DMA攻击允许


  • 操作系统和防病毒软件不知道的是,读取和修改计算机内存中的数据;
  • 将代码注入操作系统和正在运行的程序
  • 从正在运行的程序中检索任何数据:密钥,密码
  • 绕过操作系统的认证和授权
  • .


第1部分-理论

首先,我们将用手指弄清楚PCIe总线的工作方式和内存访问,为什么可能发生这种攻击以及存在防止这种攻击的现代保护手段。让我们考虑一下存在哪些工具可以进行DMA攻击,以及如何最好地设计安全系统。

ValdikSS将谈论其使用DMA攻击来破解日本老虎机保护的经验

第2部分-实践课程

要进行攻击,我们将使用两台计算机:攻击者和受害者。受害者的PCIe端口中插入了一个特殊的“邪恶”设备,该设备实现了PCIe的物理层并从攻击者发送命令。攻击计算机通过USB连接到“邪恶”板,并通过它向受害人的PCIe总线发送命令。



普通的X86计算机将成为受害者,而USB3380板将充当“邪恶”设备。攻击者将使用pcileech框架

让我们找出哪些设备支持pcileech作为攻击者,以及选择哪种更好。我们将基于USB3380主板从零开始建立攻击者的立场。



最初,受害计算机将具有一个用bitlocker加密并锁定以进入操作系统的硬盘。

我们将执行以下攻击:

  • Windows身份验证绕过 -登录您的帐户而无需重置密码
  • 访问受害者文件尽管对文件系统进行了加密,但仍然可以从OS内访问文件
  • 我们从内存中提取有价值的数据 -来自比特币钱包的密钥,密码和键入的文本
  • 我们立即在内存中安装仿木马程序,而磁盘上没有中间文件

这个职业是给谁的


本课程对于嵌入式系统的开发人员,设计终端机,ATM,机器,游戏机和赌博机的人员将非常有用。您将需要计算机硬件的基本知识。

pcileech框架非常简单,并具有几个用于典型攻击的便捷插件,因此任何高级计算机用户都可以学习如何使用它。

关于作者


ValdikSS是一名安全研究人员和开源爱好者。该程序的作者绕过DPI GoodByeDPI系统,并提供JustVPN和Anti-Ban服务。他曾在Digital Security工作__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

马克西姆热-Positive Technologies的嵌入式开发人员和安全研究员。他对密码学,虚拟化技术,逆向工程以及与硬件相关的所有事物都感兴趣。他曾在Black Hat的33C3、34C3演出。他与Mark Ermolov一起在Apple MacOS固件Intel ME中发现了漏洞。_________________________________________________________________________________________________________________________________________________________________________________________

地点-Hackspace Neuron



Hackspace Neuron是位于莫斯科市中心的极客和技术爱好者社区。具有专业设备和创意氛围的工作场所。


所有筹集的资金将用于支付租金和开发Huxspace。如果您想进一步支持我们,则可以拥抱并提供帮助。

注意:大师班上提供的所有信息仅用于研究目的。用于漏洞分析的测试平台不是真实的系统,而是专门为培训目的而创建的。作者不敦促使用获得的知识进行违法行为。

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles