hiding depth
play

Hiding @ Depth: Exploring & Subverting NAND Flash memory Josh - PowerPoint PPT Presentation

May 30, 2023 •211 likes •379 views

Hiding @ Depth: Exploring & Subverting NAND Flash memory Josh m0nk Thomas (A DARPA CFT Project by MonkWorks, LLC) RIP 4.1.13 - Long Live CFT Thx Mudge Saturday, June 22, 13 My Path, And You Can Too! Saturday, June 22, 13 My Path,

  1. Hiding @ Depth: Exploring & Subverting NAND Flash memory Josh ‘m0nk’ Thomas (A DARPA CFT Project by MonkWorks, LLC) RIP 4.1.13 - Long Live CFT Thx Mudge Saturday, June 22, 13

  2. My Path, And You Can Too! Saturday, June 22, 13

  3. My Path, And You Can Too! • Kernel Modules: Side Loading Fun! • Sure, I’ll be a “test” case Saturday, June 22, 13

  4. My Path, And You Can Too! • Almost everything I do is simply calling the API in the wrong order • The 1 exception is the OOB write • Path to Winning? • Pick a block and wipe it • Cover the entire block in 0xDEADBEEF • Mark the Block as “Bad” • 0x00 out the OOB in the case of Sony • Watch the reboot from collision! Saturday, June 22, 13

  5. nandx_hide.c Saturday, June 22, 13

  6. nandx_hide.c Saturday, June 22, 13

  7. nandx_hide.c Saturday, June 22, 13

  8. BadUSB ¡— ¡On ¡accessories ¡that ¡turn ¡evil ¡ Karsten ¡Nohl ¡<nohl@srlabs.de> ¡ ¡ Sascha ¡Krißler ¡<sascha@srlabs.de> ¡ Jakob ¡Lell ¡<jakob@srlabs.de> ¡ SRLabs ¡Template ¡v12 ¡

  9. USB ¡devices ¡include ¡a ¡micro-­‑controller, ¡hidden ¡from ¡the ¡user ¡ USB ¡controller ¡ Flash ¡ 8051 ¡CPU ¡ Controller ¡ Mass ¡storage ¡ firmware ¡ Bootloader ¡ The ¡only ¡part ¡ ¡ visible ¡to ¡the ¡user ¡ 4 ¡

  10. USB ¡devices ¡are ¡iden[fied ¡ ¡ USB ¡devices ¡ Connectors ¡+ ¡hubs ¡ Host ¡ Root ¡ hub ¡ Examples ¡ Iden&fier ¡ USB ¡thumb ¡drive ¡ Webcam ¡ Interface ¡class ¡ 8 ¡– ¡Mass ¡Storage ¡ a. 1 ¡ ¡ ¡– ¡Audio ¡ b. 14 ¡– ¡Video ¡ End ¡points ¡ 0 ¡– ¡Control ¡ 0 ¡– ¡Control ¡ 1 ¡– ¡Data ¡transfers ¡ 1 ¡– ¡Video ¡transfers ¡ 6 ¡– ¡Audio ¡transfers ¡ 7 ¡– ¡Video ¡interrupts ¡ Serial ¡number ¡ AA627090820000000702 ¡ 0258A350 ¡ 5 ¡

  11. USB ¡devices ¡are ¡ini[alized ¡in ¡several ¡steps ¡ USB ¡device ¡ Devices ¡can ¡have ¡ USB ¡plug-­‑and-­‑play ¡ several ¡iden&&es ¡ § A ¡device ¡indicates ¡ its ¡capabili[es ¡ Register ¡ through ¡a ¡ Set ¡address ¡ descriptor ¡ ¡ Power-­‑on ¡+ ¡ Firmware ¡init ¡ § A ¡device ¡can ¡have ¡ Send ¡descriptor ¡ several ¡ Load ¡driver ¡ Set ¡configura[on ¡ descriptors ¡if ¡it ¡ supports ¡mul[ple ¡ Normal ¡opera[on ¡ device ¡classes; ¡like ¡ webcam ¡+ ¡ Op[onal: ¡deregister ¡ microphone ¡ Register ¡again ¡… ¡ § Device ¡can ¡ Load ¡another ¡ deregister ¡and ¡ driver ¡ register ¡again ¡as ¡a ¡ different ¡device ¡ 6 ¡

  12. Agenda ¡ § USB ¡background ¡ § Reprogramming ¡peripherals ¡ § USB ¡aLack ¡scenarios ¡ § Defenses ¡and ¡next ¡steps ¡ 7 ¡

  13. Reversing ¡and ¡patching ¡USB ¡firmware ¡took ¡less ¡than ¡2 ¡months ¡ ¡ A ¡ B ¡ C ¡ Document ¡firmware ¡ ¡ Reverse-­‑engineer ¡firmware ¡ Patch ¡firmware ¡ update ¡process ¡ 1. Find ¡leaked ¡firmware ¡and ¡ 1. Load ¡into ¡disassembler ¡ 1. Add ¡hooks ¡to ¡firmware ¡to ¡ flash ¡tool ¡on ¡the ¡net ¡ (complica[on: ¡MMU-­‑like ¡ add/change ¡func[onality ¡ memory ¡banking) ¡ 2. Sniff ¡update ¡ 2. Custom ¡linker ¡script ¡compiles ¡ communica[on ¡using ¡ 2. Apply ¡heuris[cs ¡ C ¡and ¡assembly ¡code ¡and ¡ Wireshark ¡ injects ¡it ¡into ¡unused ¡areas ¡of ¡ – Count ¡matches ¡between ¡ original ¡firmware ¡ 3. Replay ¡custom ¡SCSI ¡ func[on ¡start ¡and ¡call ¡ commands ¡used ¡for ¡ instruc[ons ¡for ¡different ¡ Other ¡possible ¡targets ¡ updates ¡ memory ¡loca[ons ¡ We ¡focused ¡on ¡USB ¡s[cks, ¡ 4. (Reset ¡bricked ¡devices ¡ – Find ¡known ¡USB ¡bit ¡ but ¡the ¡same ¡approach ¡ through ¡short-­‑circui[ng ¡ fields ¡such ¡as ¡descriptors ¡ should ¡work ¡for: ¡ Flash ¡pins) ¡ 3. Apply ¡standard ¡solware ¡ § External ¡HDDs ¡ reversing ¡to ¡find ¡hooking ¡ points ¡ § Webcams, ¡keyboards ¡ § Probably ¡many ¡more ¡… ¡ 8 ¡

  14. Agenda ¡ § USB ¡background ¡ § Reprogramming ¡peripherals ¡ § USB ¡aLack ¡scenarios ¡ § Defenses ¡and ¡next ¡steps ¡ 9 ¡

  15. Keyboard ¡emula[on ¡is ¡enough ¡for ¡infec[on ¡and ¡privilege ¡escala[on ¡ ¡ (w/o ¡need ¡for ¡solware ¡vulnerability) ¡ Challenge ¡– ¡ Linux ¡malware ¡runs ¡with ¡limited ¡user ¡privileges, ¡but ¡needs ¡ ¡ root ¡privileges ¡to ¡infect ¡further ¡s[cks ¡ Approach ¡– ¡ Steal ¡ sudo ¡password ¡in ¡screensaver ¡ Restart ¡screensaver ¡ § User ¡enters ¡password ¡to ¡ (or ¡ policykit ) ¡with ¡ unlock ¡screen ¡ password ¡stealer ¡ § Malware ¡intercepts ¡ added ¡via ¡an ¡ password ¡and ¡gains ¡root ¡ LD_PRELOAD ¡library ¡ ¡ privileges ¡using ¡ sudo ¡ Privilege ¡escala[on ¡ module ¡will ¡be ¡ submiLed ¡to ¡Metasploit ¡ 11 ¡

  16. Network ¡traffic ¡can ¡be ¡diverted ¡by ¡“DHCP ¡on ¡USB” ¡ DNS ¡assignment ¡ in ¡ All ¡DNS ¡ DHCP ¡over ¡spoofed ¡ queries ¡go ¡to ¡ USB-­‑Ethernet ¡ aLacker’s ¡DNS ¡ adapter ¡ server ¡ ALack ¡steps ¡ Result ¡ 1. USB ¡s[ck ¡spoofs ¡ 3. Internet ¡traffic ¡is ¡s[ll ¡routed ¡ Ethernet ¡adapter ¡ through ¡the ¡normal ¡Wi-­‑Fi ¡ connec[on ¡ 2. Replies ¡to ¡DHCP ¡query ¡ with ¡DNS ¡server ¡on ¡the ¡ 4. However, ¡DNS ¡queries ¡are ¡sent ¡to ¡ Internet, ¡but ¡without ¡ the ¡USB-­‑supplied ¡server, ¡enabling ¡ default ¡gateway ¡ redirec[on ¡aLacks ¡ 13 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Hiding @ Depth: Exploring &amp; Subverting NAND Flash memory Josh m0nk Thomas (A DARPA CFT

Hiding @ Depth: Exploring &amp; Subverting NAND Flash memory Josh m0nk Thomas (A DARPA CFT

Hiding @ Depth: Exploring &amp; Subverting NAND Flash memory Josh m0nk Thomas (A DARPA CFT Project by MonkWorks, LLC) RIP 4.1.13 - Long Live CFT Thx Mudge Saturday, June 22, 13 ./whoami (m0nk) Applied Research Scientist @ Accuvant

394 views • 35 slides
Information hiding Information hiding Notice how a user of a service being provided by an

Information hiding Information hiding Notice how a user of a service being provided by an

Information hiding Information hiding Notice how a user of a service being provided by an object, need only know the name of the messages that the object will accept. They need not have any idea how the actions performed in response to

474 views • 34 slides
POKING HOLES IN INFORMATION HIDING Angelos Oikonomopoulos Elias Athanasopoulos Herbert Bos

POKING HOLES IN INFORMATION HIDING Angelos Oikonomopoulos Elias Athanasopoulos Herbert Bos

POKING HOLES IN INFORMATION HIDING Angelos Oikonomopoulos Elias Athanasopoulos Herbert Bos Cristiano Giuffrida Vrije Universiteit Amsterdam Teaser Break ideal information hiding in seconds Few probes, typically no crashes

854 views • 33 slides
David Lorge Parnas When the first papers on information Hiding were published (1970-72) ,

David Lorge Parnas When the first papers on information Hiding were published (1970-72) ,

Middle Road Software, Inc. How Precise Documentation allows Information Hiding to Reduce Software Complexity and Increase its Agility&quot; David Lorge Parnas When the first papers on information Hiding were published (1970-72) , reaction

845 views • 47 slides
Tsinghua University Monocular Depth-Pose Prediction [R, t] Depth and Pose RGB PoseNet

Tsinghua University Monocular Depth-Pose Prediction [R, t] Depth and Pose RGB PoseNet

Wang Zhao, Shaohui Liu, Yezhi Shu, Yong-Jin Liu Tsinghua University Monocular Depth-Pose Prediction [R, t] Depth and Pose RGB PoseNet Fails to Generalize! All Drift ! Depth estimation in Indoor environments with Visual Odometry with

610 views • 15 slides
Forensic Data Hiding Optimized for JPEG 2000 Dieter Bardyn, Johann A. Briffa, Ann Dooms and Peter

Forensic Data Hiding Optimized for JPEG 2000 Dieter Bardyn, Johann A. Briffa, Ann Dooms and Peter

Forensic Data Hiding Optimized for JPEG 2000 Dieter Bardyn, Johann A. Briffa, Ann Dooms and Peter Schelkens May 18, 2011 Overview Image adaptive data hiding Overview Image adaptive data hiding Overview Image adaptive data hiding

778 views • 60 slides
RGBD Tutorial 14210240041 Gu Pan Image RGB YUV Lab Depth Image RGB image Depth image Each pixel in

RGBD Tutorial 14210240041 Gu Pan Image RGB YUV Lab Depth Image RGB image Depth image Each pixel in

RGBD Tutorial 14210240041 Gu Pan Image RGB YUV Lab Depth Image RGB image Depth image Each pixel in depth image shows the distance to camera Device Kinect Kinect2 (we use) SoftKinetic Leapmotion Kinect Depth camera developed by

480 views • 29 slides
Depth from HDR: Depth Induction or Increased Realism? P. Vangorp 1 R. K. Mantiuk 2 B. Bazyluk 3

Depth from HDR: Depth Induction or Increased Realism? P. Vangorp 1 R. K. Mantiuk 2 B. Bazyluk 3

Depth from HDR: Depth Induction or Increased Realism? P. Vangorp 1 R. K. Mantiuk 2 B. Bazyluk 3 K. Myszkowski 1 R. Mantiuk 3 S. J. Watt 2 H.-P. Seidel 1 1 MPI Informatik 2 Bangor University 3 West Pomeranian 3 University of Technology Depth from

466 views • 34 slides
Depth &amp; Complexity Framework - Understanding the pieces ELP Depth and Complexity Resource

Depth &amp; Complexity Framework - Understanding the pieces ELP Depth and Complexity Resource

Depth &amp; Complexity Framework - Understanding the pieces ELP Depth and Complexity Resource Page: https://www.jtayloreducation.com/tagtelp/ J Taylor Education, 2016 Depth &amp; Complexity Framework Understanding the parts Think Like A

254 views • 22 slides
You never know what is hiding in plain sight. Consider what was hanging above the hotplate in the

You never know what is hiding in plain sight. Consider what was hanging above the hotplate in the

Feast of the Presentation of the Lord Lumen ad revelationem gentium February 1-2, 2020 Readings: Malachi 3:1-4; Hebrews 2:14-18; Luke 2:22-40 You never know what is hiding in plain sight. Consider what was hanging above the hotplate in the

510 views • 3 slides
A Test Bed for Data Hiding in Financial Transactions Dylan Leigh Supervisor: Dr Ron van Schyndel

A Test Bed for Data Hiding in Financial Transactions Dylan Leigh Supervisor: Dr Ron van Schyndel

A Test Bed for Data Hiding in Financial Transactions Dylan Leigh Supervisor: Dr Ron van Schyndel The aim of this project is to develop a framework to allow experiments with data hiding in financial transactions, and for detecting the use of

363 views • 11 slides
Tillage Depth Control (TDC) Benefits of Tillage Depth Control Is the definition of precision

Tillage Depth Control (TDC) Benefits of Tillage Depth Control Is the definition of precision

Tillage Depth Control (TDC) Benefits of Tillage Depth Control Is the definition of precision agriculture! Increased efficiency Automating time consuming tasks Enables less skilled workers to perform the task better Accurate

353 views • 11 slides
Second Order Predicting- Error Sorting for Reversible Data Hiding Jiajia Xu, Hang Zhou, Weiming

Second Order Predicting- Error Sorting for Reversible Data Hiding Jiajia Xu, Hang Zhou, Weiming

Second Order Predicting- Error Sorting for Reversible Data Hiding Jiajia Xu, Hang Zhou, Weiming Zhang, Ruiqi Jiang, Guoli Ma, and Nenghai Yu Presented by Hang Zhou 2016.9.19 Content Introduction of Reversible Data Hiding (RDH)

329 views • 14 slides
WHAT DEPTH ? Drillers Depth Determination Harald Bolt 1 45 th General Meeting March 17 th ,

WHAT DEPTH ? Drillers Depth Determination Harald Bolt 1 45 th General Meeting March 17 th ,

WHAT DEPTH ? Drillers Depth Determination Harald Bolt 1 45 th General Meeting March 17 th , 2017 The Hague, The Netherlands Wellbore Positioning Technical Section Speaker Information Harald Bolt What Depth ? March 17, 2017

266 views • 24 slides
Unsupervised Monocular Depth Estimation CNN Robust to Training Data Diversity Valery

Unsupervised Monocular Depth Estimation CNN Robust to Training Data Diversity Valery

Unsupervised Monocular Depth Estimation CNN Robust to Training Data Diversity Valery Anisimovskiy, Andrey Shcherbinin, 15 May, 2020 Sergey Turko and Ilya Kurilin Problem Statement: Depth Sensors limitations IR depth sensor Stereo camera

670 views • 21 slides
Hiding &amp; Overriding Hiding &amp; Overriding Overriding : two functions in different

Hiding &amp; Overriding Hiding &amp; Overriding Overriding : two functions in different

Overloading, Overriding, Hiding g, g, g Overloading : two functions in the same service(int) scope, have the same name, different scope have the same name different service(double int) service(double, int) signatures (virtual is not

230 views • 3 slides
Micro Processor &amp; Controller Organization Organization Outline Outline Project Examples

Micro Processor &amp; Controller Organization Organization Outline Outline Project Examples

Micro Processor &amp; Controller Organization Organization Outline Outline Project Examples CPU 8, 16, 32 Bits FPU General Architecture of Computer CPU - MEM - I/O Peripheral Memory Hierarchy Main Memory

254 views • 13 slides
ACCESSIBILITY Is it another checkbox to be ticked? By Ann Mwangi CROSS FUNCTIONAL REQUIREMENTS

ACCESSIBILITY Is it another checkbox to be ticked? By Ann Mwangi CROSS FUNCTIONAL REQUIREMENTS

U S E R E X P E R I E N C E ACCESSIBILITY Is it another checkbox to be ticked? By Ann Mwangi CROSS FUNCTIONAL REQUIREMENTS 2 WHY ACCESSIBILITY Over 4 million people in Australia have some form of disability. That's 1 in 5 people. (ABS)

516 views • 22 slides
Virtualised USB Fuzzing using QEMU and Scapy Breaking USB for Fun and Profit Tobias Mueller (c)

Virtualised USB Fuzzing using QEMU and Scapy Breaking USB for Fun and Profit Tobias Mueller (c)

Intro Fuzzing Results Virtualised USB Fuzzing using QEMU and Scapy Breaking USB for Fun and Profit Tobias Mueller (c) 2015, CC-BY-SA 3.0 2015-10-01 1 / 25 Intro Fuzzing Results 1 Intro Motivation USB Architecture 2 Fuzzing Obtaining

416 views • 23 slides
IWCG Privacy Update 26.10.2018 TPAC, Lyon Agenda 15m - High-level overview of documented threat

IWCG Privacy Update 26.10.2018 TPAC, Lyon Agenda 15m - High-level overview of documented threat

IWCG Privacy Update 26.10.2018 TPAC, Lyon Agenda 15m - High-level overview of documented threat vectors and potential mitigations based on issues and explainer at Privacy &amp; Security repo

487 views • 31 slides
Is it safe to run applications in Linux Containers? Jrme Petazzoni @jpetazzo Docker Inc.

Is it safe to run applications in Linux Containers? Jrme Petazzoni @jpetazzo Docker Inc.

Is it safe to run applications in Linux Containers? Jrme Petazzoni @jpetazzo Docker Inc. @docker Is it safe to run applications in Linux Containers? And, can Docker do anything about it? Question: Is it safe to run applications in

803 views • 59 slides
Anno Accademico 2007-2008 Laboratorio di Tecnologie Web Sviluppo di applicazioni web HTML, CSS e

Anno Accademico 2007-2008 Laboratorio di Tecnologie Web Sviluppo di applicazioni web HTML, CSS e

Universita degli Studi di Bologna Facolta di Ingegneria Anno Accademico 2007-2008 Laboratorio di Tecnologie Web Sviluppo di applicazioni web HTML, CSS e Javascript http://www-lia.deis.unibo.it/Courses/TecnologieWeb0708/ |Tecnologie Web

363 views • 17 slides
NEST Kali Linux Tutorial: Maltego Maltego is an open source intelligence and forensics

NEST Kali Linux Tutorial: Maltego Maltego is an open source intelligence and forensics

NEST Kali Linux Tutorial: Maltego Maltego is an open source intelligence and forensics application. It will offer you timeous mining and gathering of information as well as the representation of this information in an easy to understand

477 views • 23 slides
MAKING (AND BREAKING) AN 802.15.4 WIRELESS IDS RYAN SPEERS, JAVIER VAZQUEZ - RIVER LOOP SECURITY

MAKING (AND BREAKING) AN 802.15.4 WIRELESS IDS RYAN SPEERS, JAVIER VAZQUEZ - RIVER LOOP SECURITY

MAKING (AND BREAKING) AN 802.15.4 WIRELESS IDS RYAN SPEERS, JAVIER VAZQUEZ - RIVER LOOP SECURITY LLC. SERGEY BRATUS - DARTMOUTH COLLEGE Tuesday, March 18, 14 why care about 802.15.4 and ZigBee? interface with the physical environment

1.01k views • 67 slides

More recommend