Le PCILeech exploite l’accès direct à la mémoire (DMA) pour extraire la mémoire d’un système, pour contourner les mécanismes de sécurité de la plateforme cible. Cet article dévoile sa mécanique interne, met en lumière les défis associés et présente les techniques utilisées pour dépasser les mécanismes de sécurité imposés par le noyau Linux.
L’accès direct à la mémoire (DMA) permet des transferts rapides entre périphériques et mémoire sans impliquer le processeur. Toutefois, malgré l’importance de cette fonctionnalité, sa mise en œuvre présente des risques de sécurité, car sur un système mal configuré, un accès DMA peut permettre de contourner les sécurités du système. Cette problématique est détaillée dans MISC n° 126 [1].
Cet article offre une vue détaillée des défis auxquels l’auteur du PCILeech [2] a dû faire face pour réaliser et mettre au point son outil. Il présente notamment les astuces que celui-ci a mises au point pour dépasser les limites imposées par les systèmes d’exploitation, en prenant pour exemple celles imposées par le noyau Linux.
1. Contexte
Le PCILeech est un logiciel permettant de réaliser des accès DMA sur la cible sur laquelle il est connecté. Pour compromettre un système à l’aide de PCILeech, l’attaquant doit avoir un accès physique à...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[1] Q. Kaufman, « Attaques par direct memory access et sécurité hardware », MISC n°126, mars-avril 2023 :
https://connect.ed-diamond.com/misc/misc-126/attaques-par-direct-memory-access-et-securite-hardware
[2] Ulf Frisk, PCILeech GitHub : https://github.com/ufrisk/pcileech
[3] LambdaConcept PCIE Screamer :
https://shop.lambdaconcept.com/home/50-screamer-pcie-squirrel.html
[4] QEMU : https://www.qemu.org/
[5] H2Lab : https://h2lab.org/
[6] Leechcore device QEMU by H2Lab :
https://github.com/ufrisk/LeechCore-plugins/tree/master/leechcore_device_qemu
[7] PCILeech webradar : https://github.com/EngineOwningSoftware/pcileech-webradar
[8] lx64_stage3_c.c : https://github.com/ufrisk/pcileech/blob/ef6c298692bc6a90467d6555caa533a4ac5987a3/pcileech_shellcode/lx64_stage3_c.c
[9] kmd.c : https://github.com/ufrisk/pcileech/blob/ef6c298692bc6a90467d6555caa533a4ac5987a3/pcileech/kmd.c
[10] KMDOpen_MemoryScan() : https://github.com/ufrisk/pcileech/blob/ef6c298692bc6a90467d6555caa533a4ac5987a3/pcileech/kmd.c#L1410
[11] KMD_Linux48KernelBaseSeek :
https://github.com/ufrisk/pcileech/blob/ef6c298692bc6a90467d6555caa533a4ac5987a3/pcileech/kmd.c#L422
[12] KMD_Linux48KernelSeekSignature :
https://github.com/ufrisk/pcileech/blob/ef6c298692bc6a90467d6555caa533a4ac5987a3/pcileech/kmd.c#L494
[13] vfs_read : https://elixir.bootlin.com/linux/v5.10.194/source/fs/read_write.c#L476
[14] kdbgetsymval : https://elixir.bootlin.com/linux/v5.10.194/source/kernel/debug/kdb/kdb_support.c#L30
[15] kmd_FindSignature1 : https://github.com/ufrisk/pcileech/blob/ef6c298692bc6a90467d6555caa533a4ac5987a3/pcileech/kmd.c#L79
[16] kmd_FindSignature2 : https://github.com/ufrisk/pcileech/blob/ef6c298692bc6a90467d6555caa533a4ac5987a3/pcileech/kmd.c#L46
[17] Util_CreateSignatureLinuxGeneric :
https://github.com/ufrisk/pcileech/blob/ef6c298692bc6a90467d6555caa533a4ac5987a3/pcileech/util.c#L554
[18] Intel® 64 and IA-32 Architectures Software Developer Manuals :
https://www.intel.com/content/www/us/en/developer/articles/technical/intel-sdm.html
[19] PCILeech Shellcodes : https://github.com/ufrisk/pcileech/tree/ef6c298692bc6a90467d6555caa533a4ac5987a3/pcileech_shellcode
[20] lx64_filepull.c : https://github.com/ufrisk/pcileech/blob/ef6c298692bc6a90467d6555caa533a4ac5987a3/pcileech_shellcode/lx64_filepull.c
[21] Debugging the pcileech code executed on targeted systems under dma attack !,
https://www.twistedwires.io/blog/dma-debugging-qemu/
[22] PCILeech shellcodes : https://github.com/ufrisk/pcileech/tree/master/pcileech_shellcode
[23] Kernel Xen : https://elixir.bootlin.com/linux/latest/source/arch/x86/xen/xen-head.S
