Archiv der Kategorie: News

new posts, updates …

Uefi Rootkit backdoor proof

ESET-LoJax

PDF Embedder requires a url attribute us-14-Bulygin-CHIPSEC-Slides

macbook_air-13-inch-mid-2013_quick_start-1

 

us-14-Bulygin-CHIPSEC-Slides

ESET-LoJax

https://github.com/eset/malware-ioc/tree/master/sednit#lojax-first-uefi-rootkit-found-in-the-wild-courtesy-of-the-sednit-group

chipsec · PyPI

 

https://support.eset.com/en/you-receive-an-eset-uefi-detection

https://support.eset.com/en/you-receive-an-eset-uefi-detection

https://www.bleepingcomputer.com/news/security/apt28-uses-lojax-first-uefi-rootkit-seen-in-the-wild/

https://www.welivesecurity.com/deutsch/2018/04/25/sednit-update-analyse-von-zebrocy/

https://www.welivesecurity.com/deutsch/2017/05/09/sednit-ist-mit-zwei-zero-days-exploits-zurueck/

https://github.com/chipsec/chipsec

spree via usb-fiermware for old usb-chips opensource gnu code are mainly used also mainlaay used commonly driver for write qaccess on several disk formated partions drver are all used from opensource repos

 

Related posts

Hinterhalt der Scherer, Kern und Kammer und ihren rumänischen Handlanger von der ana

Ana und die Scherer mit ihren rumänischen Handlanger in einen Haus versteckt wo sie mich hinlocken wollten in die Franz-Hinterholzkai Straße 28 gleich beim überfuhrsteg.

Beim zufahren durch eine querstraße der Franz-Hinterholzkai-Straße haben sie sogar einen Auto mit 2 Personen die aussehen sollten wie zivil Polizisten hingestellt. Dann das riesen Haus ;(

Scherer und Ana vesteckt in einem Haus

Related posts

the theoretical Uefi / Bios backdoor removal How2

Bei ASUS Mainboards / Motherboards wurde das komplette EFI spi flash immer erfolgreich neu überschrieben. Bei Apple’s MacbookPro oder anderen Latop’s ist es 1 . die zu beschreibende BINARY images Dateien zu erhalten bzw. an einen quelle download zu haben die etwas schwierigere Hürde bei diesem und das anstecken der Kontakt stellen pins/ füsschen des chips das eigentliche Problem da diese chips um einiges kleiner und zeitweise nicht so gut errreichbar bzw. verbaut sin als die in den PC’s spi flash Chips sind.

install flashrom and its dependencies to build

1. get flashrom build depends
apt install -y libusb-dev zlib1g-dev git-core build-essential cmake libtool autoconf automake libpci-dev libpci3 pciutils libftdi-dev


2. get flashrom itself best isto get  latest from git tag
git clone https://review.coreboot.org/cgit/flashrom.git
cd flashrom
make
make install
#ready to use check command 
flashrom -h

Connecting programmer with your 8soic clip nd the chip FLASH

3. get your flashrom connector if you aint got an ftdi or flasher( i always wanted to have an catflash but i hadnt so much money for that and now they aitn more actual bus pirate is an good allternate)  you can build one from arduino they aint so fast but its enough to get  a new uefi flash

4. get an 8soic or 8dio clip at digi-key.com

5. connect 8soic clip with the flasher and with the chi to get flashed together

Description Bus Pirate Dir. Flash chip Dir. Bus Pirate Description
(not) Chip Select CS 1 /CS VCC 8 +3.3v Supply
Master In, Slave Out MISO 2 DO (IO1) /HOLD (IO3) 7 +3.3v (not) hold (see datasheets)
(not) Write Protect +3.3v 3 /WP (IO2) CLK 6 CLK The SPI clock
Ground GND 4 GND DI (IO0) 5 MOSI Master Out, Slave In

Usage of flashrom with your programmer

6. start dumping and flashing
flashrom -p buspirate_spi:dev=/dev/ttyUSB0,spispeed=1M -V

with -V you get info about chip connected
if all goes good and chip ist recognized you can start to dump flashrom with
-r BIOS.DUMP
this will read the chip and save the content as BIOS.DUMP filenname. before you wirte the cip you should read it 2 – 3 times and diff it if they are equal to know if an read errror has been made if alla are same you can start writing to flash chip with
-w BIOSFILE2WRITE2CHIP.BIN
you can add
-o logfilename.log
for saving the logoutput to an give filename 

  • beim start des os wird irgen ein proces bzw service willkürlich asugewählt dieser wird dann injektioert und hat einen listetinger lauschport offen

Related posts

ana die bei mc donalds in hallein arbeitet und keine zeit für ihre kinder hat

AnaMaria Wagner

Meine angesetzte Frau die nie zeit hat sich mit den Kindern zu treffen weil sie ja beim Mc Donalds in Hallein arbeitet und das bereits schon seit 3 Monaten. jetzt fragt sich jeder warum schreibt dr so 2was. ganz einfach weil sie dort gar nicht arbeitet und trotzdem nie die Ki der sehen will bzw immer so tut als ob sie keine zeit hat das sie ja ständig am arbeiten ist. Einmal waren meine kids sie besuchen sie war zwar beim McDonalds aber auch nur weil wir davor davon geredet haben dass wir sie besuchen da die Kinder sie schon sehentlich sehen wollten. Und sie ja nie abhebt  bzw anruft . Sie ist aufjedefall im McDonalds gewesen aber arbeitet tut sie da nicht. wenn ich dort hinfahre dann ist sie halt dort aber nur weil die scherer mich derartig observieren lassen und genau wissen was und wo ich hinfahre. reden darf mann bei mir nix zu hause.
Ober mir sind 2 observations Wohnung das ist eine andere Sache meine kleine tochter will ständig da hinein gehen ich denk mir da immer wie sie auf das  kommt dahinzugehen zu wollen obwohl ich noch nie da drinnen bzw hingegangen bin 

Related posts

gl-ar300m art.bin reflash

beim pineapple firmware nachbauen ein wenig zu viel  verisonen mit versichenen usb chippsatz hersteller durürobiert mit dem bauen und integrieren von firmware drivers etc einmal ralink usb wlan dann wieder mal realtek dann doch auch nen atheros adapter benützt
aufjedenfall hab ich die art /dev/mtd3 partition / flush device überschrieben.
DOWNLOAD:
onedrive: art.bin
dl.raimond.at: art.bin
icloud: art.bin is not uploaded till yet
mega.nz: art.bin ist not uploaded till yet

mein boot error zualler erst:
U-Boot 1.1.4-g36de7573-dirty (May 27 2017 – 10:55:06)

DRAM: 128 MB
Nor Flash: 16 MB, sector count = 256
*** Warning *** : PCIe WLAN Module not found !!!
NAND Flash: 128 MB, page size = 0x800 block size = 0x20000 oob size = 0x80
Protect off 9F040000 … 9F04FFFF
Un-Protecting sectors 4..4 in bank 1
Un-Protected 1 sectors
Erasing Flash…Erasing flash…
First 0x4 last 0x4 sector size 0x10000
4
Erased 1 sectors
Writing to Flash… write addr: 9f040000
done
Protecting sectors 4..4 in bank 1
Protected 1 sectors
Warning: Bootlimit (3) exceeded. Using altbootcmd.
Hit any key to stop autoboot: -99
Cannot find art, please flash the default art first.


webuboot  http://192.168.1.1/art.html

hat mir immer nen fehler zurück gegben bzw fehler war nur in uboot console ersichtlich  wenn ich es über html versucht hab zu flashen.

 

hier der recovery weg

FLASHLAYOUT RESEARCH INFORMATION
FLASHLAYOUTTABLE NOT IN PUBLIC FOUND

from an running openwrt gl-ar300m router

cat /proc/mtd
dev: size erasesize name
mtd0: 00040000 00010000 „u-boot“
mtd1: 00010000 00010000 „u-boot-env“
mtd2: 00fa0000 00010000 „reserved“
mtd3: 00010000 00010000 „art“
mtd4: 00200000 00020000 „kernel“
mtd5: 07e00000 00020000 „ubi“

bootlog via console from an running openwrt OS / original dem log also same flash adress information

[ 0.384840] m25p80 spi0.0: w25q128 (16384 Kbytes)
[ 0.389764] 4 fixed-partitions partitions found on MTD device spi0.0
[ 0.396318] Creating 4 MTD partitions on „spi0.0“:
[ 0.401293] 0x000000000000-0x000000040000 : „u-boot“
[ 0.407199] 0x000000040000-0x000000050000 : „u-boot-env“
[ 0.413461] 0x000000050000-0x000000ff0000 : „firmware“
[ 0.421357] 2 uimage-fw partitions found on MTD device firmware
[ 0.427474] Creating 2 MTD partitions on „firmware“:
[ 0.432659] 0x000000000000-0x000000190000 : „kernel“
[ 0.438493] 0x000000190000-0x000000fa0000 : „rootfs“
[ 0.444335] mtd: device 4 (rootfs) set to be root filesystem
[ 0.450269] 1 squashfs-split partitions found on MTD device rootfs
[ 0.456657] 0x000000a30000-0x000000fa0000 : „rootfs_data“
[ 0.462930] 0x000000ff0000-0x000001000000 : „art“

oem os boot log :
0x000000ff0000-0x000001000000 : „art“

openwrt os boot log:
0x000000ff0000-0x000001000000 : „art“

start address of FLASH is 0x9F000000
plus address of art adress 0x000000ff0000

start address of RAM i s 0x80000000

tftp32 mit ethnet adapter auf
192.168.1.2
255.255.255.0
und natürlich sollte man die art.bin haben welche ih glücklicherweise gleich nach den ersten boot vorgägne meines routers  schon jahre her geischert habe. 🙂 

gl-ar300 mit setenv ip
192.168.1.1
255.255.255.0

sollte in der uboot-env als standard so angebegeben sein anderfalls diese werte anpassen

boot into uboot console:

setenv ipaddr 192.168.1.1;
setenv serverip 192.168.1.2 ;
setenv netmask 255.255.255.0 ;
saveenv

tftp 0x80060000 art.bin ;
erase 0x9FFF0000 +$filesize ;
cp.b 0x80060000 0x9FFF0000 $filesize ;
reset

 

Related posts