Nu är PCILeech 2.0 släppt

Svensken slog igenom stort på den internationella it-säkerhetsscenen förra sommaren med sitt verktyg som underlättar Direct Memory Access ()-attacker. Verktyget släpptes och förevisades i samband med DEF CON 24 samt Sec-T.

D.v.s. attacker som utnyttjar DMA över fysiska anslutningar till datorn såsom FireWire, CardBus, ExpressCard, Thunderbolt, , eller  Express. Av dessa stödjer PCILeech ExpressCard, Thunderbolt och PCIe.

Jag tog ett snack med Ulf och passade på att ställa några frågor:

Vad har hänt sedan förra året?

Jag har uppdaterat PCILeech kontinuerligt sedan det släpptes på för snart ett år sedan. Det gäller att hålla både signaturer och attacktekniker uppdaterade.

Apple har dessutom patchat EFI för att PCILeech inte längre ska kunna läsa ut lösenordet till diskkryptot från låsta macar ().

Vad är nytt i PCILeech 2.0?

Den största nyheten i PCILeech 2.0 är att det möjligt att mappa både målsystemets filsystem och dess minne som fil. Klicka runt i filsystemet och kopiera intressanta filer, eller använd din favoriteditor till att ändra direkt i både minne och filer på filsystemet. Det är t.ex. möjligt att köra volatility direkt mot minnet.

PCILeech behöver åtkomst till målsystemets kernel, just nu Windows, macOS och Linux, för att det ska fungera. PCILeech även fått stöd för hårdvara som klarar 64-bitars DMA – något som tidigare inte varit möjligt. Hårdvaran är tyvärr inte publikt tillgänglig riktigt ännu.

Planen är att utöka hårdvarustödet ytterligare framöver.

Här kan du tanka hem pcileech 2.0:

Demo hur Apple 2-lösenordet från en Mac kan hämtas ut via DMA:

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1018099 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>