 fox
II/IDEC networks :: habra.16 :: / Архитектура JETPLOW – NSA бэкдор в моей подставке под кофе
|
Login |
[#]
Архитектура JETPLOW – NSA бэкдор в моей подставке под кофе
habrabot(difrex,1) — All
2016-09-09 11:30:03
![Картинка для привлечения внимания][1]
> "Какой изящный ход – называть стандартный буткит имплантом," — подумали мы.
Всё началось около года назад, когда в распоряжение нашего отдела исследований поступили дорогостоящие подставки под кофе, а именно несколько железок от Cisco – коммутаторы Catalyst 3850, Catalyst 6500 (о технике написания шеллкодов под этого "зверя" ранее был доклад на [ZeroNights 2015][2]) и межсетевой экран ASA 5525-X.
Найдя несколько баг в межсетевом экране, которые позволяли «провалиться» в систему, получив стандартный шелл (разработчик был своевременно проинформирован), мы задумались над импактом – что можно сделать такого страшного, чтобы нанесло бы максимальный урон. И тут… слитые в 2013-м году Сноуденом [секретные документы АНБ][3] пришлись как нельзя кстати. В них рассказывалось про имплант для PIX и ASA под названием [JETPLOW][4], покрывающий Cisco PIX 500-й серии и Cisco ASA серии 5505, 5510, 5520, 5540, 5550. Как вы можете заметить, в каталоге АНБ из представленного большого диапазона поддерживаемых версий не было упоминания об имеющемся в нашем распоряжении ASA 5525-X, что, в свою очередь, породило спортивный интерес в части создания своего импланта под серию 5525-X в качестве PoC.
О своем видении и реализации импланта под ASA 5525-X мы будем рассказывать на конференции [ZeroNights 2016][5] и выложим его исходные коды. Также, в качестве бонуса, мы продемонстрируем реализацию аналогичного импланта для Catalyst 3850.
Важно отметить, что разработанный имплант для целевых 5525-X немного отличается от _JETPLOW_ ввиду того, что 5525-X построена на архитектуре Intel x86\_64, и использует UEFI, а Catalyst 3850 базируется на архитектуре MIPS64.
[Читать дальше →][6]
[1]: https://habrastorage.org/files/2b7/1cb/793/2b71cb7934f44ed688471d3f2ef9b699.jpg
[2]: http://2015.zeronights.ru/assets/files/05-Nosenko.pdf
[3]: https://www.eff.org/files/2014/01/06/20131230-appelbaum-nsa_ant_catalog.pdf
[4]: https://leaksource.files.wordpress.com/2013/12/nsa-ant-jetplow.jpg
[5]: http://2016.zeronights.ru/
[6]: https://habrahabr.ru/post/309560/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut
habrabot(difrex,1) — All
2016-09-09 11:30:03
![Картинка для привлечения внимания][1]
> "Какой изящный ход – называть стандартный буткит имплантом," — подумали мы.
Всё началось около года назад, когда в распоряжение нашего отдела исследований поступили дорогостоящие подставки под кофе, а именно несколько железок от Cisco – коммутаторы Catalyst 3850, Catalyst 6500 (о технике написания шеллкодов под этого "зверя" ранее был доклад на [ZeroNights 2015][2]) и межсетевой экран ASA 5525-X.
Найдя несколько баг в межсетевом экране, которые позволяли «провалиться» в систему, получив стандартный шелл (разработчик был своевременно проинформирован), мы задумались над импактом – что можно сделать такого страшного, чтобы нанесло бы максимальный урон. И тут… слитые в 2013-м году Сноуденом [секретные документы АНБ][3] пришлись как нельзя кстати. В них рассказывалось про имплант для PIX и ASA под названием [JETPLOW][4], покрывающий Cisco PIX 500-й серии и Cisco ASA серии 5505, 5510, 5520, 5540, 5550. Как вы можете заметить, в каталоге АНБ из представленного большого диапазона поддерживаемых версий не было упоминания об имеющемся в нашем распоряжении ASA 5525-X, что, в свою очередь, породило спортивный интерес в части создания своего импланта под серию 5525-X в качестве PoC.
О своем видении и реализации импланта под ASA 5525-X мы будем рассказывать на конференции [ZeroNights 2016][5] и выложим его исходные коды. Также, в качестве бонуса, мы продемонстрируем реализацию аналогичного импланта для Catalyst 3850.
Важно отметить, что разработанный имплант для целевых 5525-X немного отличается от _JETPLOW_ ввиду того, что 5525-X построена на архитектуре Intel x86\_64, и использует UEFI, а Catalyst 3850 базируется на архитектуре MIPS64.
[Читать дальше →][6]
[1]: https://habrastorage.org/files/2b7/1cb/793/2b71cb7934f44ed688471d3f2ef9b699.jpg
[2]: http://2015.zeronights.ru/assets/files/05-Nosenko.pdf
[3]: https://www.eff.org/files/2014/01/06/20131230-appelbaum-nsa_ant_catalog.pdf
[4]: https://leaksource.files.wordpress.com/2013/12/nsa-ant-jetplow.jpg
[5]: http://2016.zeronights.ru/
[6]: https://habrahabr.ru/post/309560/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut