התקפות על קושחה מהוות סיכון משמעותי לשרשרת האספקה של התוכנה, כפי שמדגישה הדלת האחורית המפורסמת בקושחת Gigabyte UEFI. פגיעויות בקושחה לרוב קשות יותר לזיהוי, הן פועלות מתחת לרדאר של רוב פתרונות אבטחת הקצה, ויכולות להישאר גם לאחר התקנת מערכת הפעלה מחדש. בפוסט טכני זה תלמדו כיצד פועלות דלתות אחוריות בקושחה, למה מקרה Gigabyte זעזע את התעשייה, כיצד כלים מתקדמים חושפים איומים שכאלו, ומה יכולים לעשות אנשי אבטחת מידע כדי להגן מפני התקפות מתקדמות אלו. נעסוק במושגים מרמת מתחילים עד מתקדמים, נפרק מקרים מהעולם האמיתי, ונציג טכניקות משפטיות מעשיות — עם דוגמאות קוד מעשיות בשפת Bash ו-Python לסריקה ואוטומציה.
קושחה היא השכבה הנמוכה ביותר של תוכנה שיוצרת ממשק ישיר עם החומרה — נשמרת בדרך כלל על שבבי זיכרון פלאש ניתנים לשכתוב שנמצאים על לוחות-אם, כוננים קשיחים, כרטיסי רשת ועוד. בשל היתרון המתמשך והעמדה הפריבילגית שלהן, דלתות אחוריות בקושחה מהוות סיכון עולה. עדכון קושחה שנפגע אחד יכול ליצור ערוץ סמוי, לעקוף הגנות ברמת מערכת הפעלה, ולשמור על מתמשכות חמקמקה גם לאחר שכל הכוננים נמחקו.
מקרים גבוהי פרופיל לאחרונה — במיוחד הדלת האחורית בקושחת UEFI של לוחות Gigabyte — הדגימו שמוכרים אמינים יכולים בטעות לספק קושחה פגיעה או זדונית, מה שמעמיד מיליוני מערכות בסיכון. איום זה מדגיש הן את האתגרים העומדים בפני אבטחת שרשרת האספקה המודרנית והן את הצורך בפורנזיקה חזקה של קושחה.
הקושחה חיונית לאתחול פלטפורמות מחשוב מודרניות. לא רק שהיא מגדירה את החומרה בעת האתחול, אלא שהיא גם מסוגלת לעדכן את עצמה בבטחה בעזרת חבילות חתומות על-ידי הספק. אך הנפוצות והמורכבות של הקושחה מציבות סיכונים משמעותיים:
שרשרת האספקה היא רשת של ספקים, מפתחים ואינטגרטורים שמספקים יחד את המכשיר הגמור. אם כל חוליה מהווה פגיעות — אם בטעות, תוכנה זדונית, או גורם מדינתי — כל מכשיר במורד הקו עשוי להיות בסיכון.
במאי 2023, חוקרים ב-Eclypsium ו-ReversingLabs פרסמו ממצאים מזעזעים: מעל 270 דגמים של לוחות-אם של Gigabyte הופצו עם דלת אחורית נסתרת שיכולה להיות מנוצלת מרחוק.
הדלת האחורית ב-Gigabyte נוצרה מקובץ UEFI firmware binary — שנמצא בדרך כלל בשבב SPI בלוח-אם — אשר הכיל את ההיגיון הבא:
GigabyteUpdateService.exe או דומה לכך, קיבל קוד משרתים בענן של Gigabyte דרך HTTP (לא מוצפן!) והפעיל אותו על המחשב, עם הרשאות SYSTEM.באופן קריטי, כל זה קרה ללא הסכמה מפורשת של המשתמש או מערכת ההפעלה, ונקודת העדכון השתמשה בערוץ HTTP לא מוצפן, מה שמפר הנחות אבטחה מודרניות.
+-----------------------+
| קושחת UEFI |----> מתקין
+-----------------------+ (באתחול OS)
|
v
+--------------------------+
| GigabyteUpdateService.exe|
+--------------------------+
|
v
Fetches Updates via HTTP ---> Executes as SYSTEM
הדלת האחורית של Gigabyte מדגימה את הפריכות של שרשראות האספקה של תוכנה:
זיהוי וניתוח השתלות בקושחה דורשים פורנזיקה מתמחה, הנבדלת מניתוח תוכנות זדוניות מבוסס מערכות הפעלה. נפנה לניתוחים מעשיים, מהפרשי קבצים ועד התהפכות קבצי ELF.
בהתאם למכשיר, חלץ את הקושחה באמצעות כלים של הספק או כלי עזר ברמת נמוכה כמו flashrom:
# בלינוקס, עם הרשאות root וחומרה נתמכת
sudo flashrom -p internal -r gigabyte_spi_dump.bin
כדי למצוא שינויים זדוניים, השווה את תמונות הקושחה המוחלצות:
# הפרשי ברמת בינארי
cmp -l firmware_v1.bin firmware_v2.bin
# שימוש ב-hd, xxd, או radare2 לדיפ מורט
xxd firmware_v1.bin > f1.hex
xxd firmware_v2.bin > f2.hex
diff f1.hex f2.hex
השתמש ב-binwalk לקריאת חלקי קושחה:
# חלץ מודולי UEFI וישויות דחוסות
binwalk -e gigabyte_spi_dump.bin
# רשום קבצים חלולים ונתח חלקי PE/ELF:
ls _gigabyte_spi_dump.bin.extracted/
file _gigabyte_spi_dump.bin.extracted/*
תוקפים לעיתים מוסיפים או משנים מודולים. על ידי חליצת חותמות זמן של בנייה ויישור אירועים בשרשרת האספקה, צוותי מענה לתקרית יכולים להכניס שינויים חשודים בהקשר הארגוני.
import pefile
pe = pefile.PE("GigabyteUpdateService.exe")
print("Compile time:", pe.FILE_HEADER.TimeDateStamp)
השווה קבצי מאניפסט או נתוני קפסולת UEFI:
strings firmware_old.bin | grep -i "Build" > old_buildinfo.txt
strings firmware_new.bin | grep -i "Build" > new_buildinfo.txt
diff old_buildinfo.txt new_buildinfo.txt
רבים מהרכיבי קושחת UEFI הם בינארים סטנדרטיים של PE32 (Windows) או ELF (Linux).
find _extracted_firmware/ -type f | xargs file | grep -E "ELF|PE32"
לדוגמה, בדוק בינאר חשוד:
radare2 -A suspicious_module.efi
# או
ghidraRun
# ואז תטען ותדקמפל suspicious_module.efi
strings suspicious_module.efi | grep -i -E "http|socket|connect"
לוגיקה חשודה של רשת בהקשר של קושחה היא סימן אדום.
כתוב חוק YARA לזיהוי כתובות IP של C2 מוטבעות או נקודות קצה של HTTP:
rule GigabyteUEFI_HTTP {
strings:
$http = "http://mb.download.gigabyte.com"
condition:
$http
}
סרוק אם יש התאמות:
yara GigabyteUEFI_HTTP.yara _extracted_firmware/
מקרה BombShell, שהתגלתה במכשירי Framework, מראה דלת אחורית נוספת בשרשרת אספקה — הפעם על דרייבר UEFI חתום. הדרייבר נשלח ישירות ללקוחות הסופיים, כאשר החתימות שלו מעניקות תחושת לגיטימיות שגויה.
צוותי אבטחה כיום מסתמכים יותר ויותר על סורקים מתמחים ל-UEFI/BIOS, כגון:
דוגמה: סריקה עם CHIPSEC
# התקן תלותים
sudo apt install python3-pip build-essential
pip3 install chipsec
# הפעל בדיקות בסיסיות
sudo chipsec_util uefi decode
sudo chipsec_main -m tools.uefi.find_guids
אם לוגים של Eclypsium או EDR חושפים התמדה חשודה, פענח את הפלט באופן מתוכנת:
# דוגמה לפלט
cat eclypsium_scan.log | grep -i suspicious
import re
with open("chipsec_results.txt") as f:
for line in f:
if "suspicious" in line.lower() or re.search(r"http://", line):
print("ALERT:", line.strip())
ls -l /Windows/System32/drivers/ | grep -v "Microsoft"
title: Detect Unauthorized Firmware Updaters
logsource:
product: windows
service: system
detection:
selection:
Image|contains: 'GigabyteUpdateService.exe'
ParentImage|contains: 'wininit.exe'
condition: selection
level: high
גיבוש אסטרטגיה חזקה נגד איומים ברמת הקושחה של שרשרת האספקה דורש גישה רב-גונית.
דלתות אחוריות בקושחה—כמו אלו שנראו במקרים של Gigabyte ו-BombShell—מהוות חזית חדשה עבור תוקפים ומגינות כאחד. מכיוון שקושחה יוצרת חיבור בלתי נראה בין חומרה לתוכנה, גם הארגונים המודעים ביותר לאבטחה הם פגיעים אם שרשרת האספקה נפרצה.
הלקחים שנלמדו:
על ידי שליטה בטכניקות ניתוח קושחה ואימוץ תרבות של ניהול שרשרת אספקה בפוקוס אבטחה, ארגונים יכולים להתמודד עם איומים מתפתחים אלו ולהפחית את הפוטנציאל להשפעתם של דלתות אחוריות עתידיות.
רוצים לראות יותר סדנאות פורנזיקת קושחה או הדגמות אבטחת שרשרת אספקה? השאירו תגובה או התחברו בטוויטר!
אם מצאתם את התוכן הזה בעל ערך, תארו לעצמכם מה תוכלו להשיג עם תוכנית ההכשרה המקיפה והאליטיסטית שלנו בת 47 שבועות. הצטרפו ליותר מ-1,200 סטודנטים ששינו את הקריירה שלהם בעזרת טכניקות יחידה 8200.