Dipl.-Inform. Carsten Eilers

Rootkits (fast) in der Hardware

Geschrieben von Carsten Eilers am

Rootkits verankern sich nicht nur
tief im System,
oder
virtualisieren
es, um sich vor ihm zu verbergen, sie können sich auch
(fast) in der Hardware verstecken. Genauer: In der sie steuernden
Firmware. So gibt es z.B.

Rootkits im BIOS

Rootkits, die sich im BIOS-Speicher einnisten, überstehen sogar das
Formatieren oder sogar einen Austausch der Festplatte. Wie ein Rootkit
das BIOS manipulieren kann, haben Alfredo Ortega und Anibal Sacco auf der
Sicherheitskonferenz CanSecWest 2009 vorgeführt (Präsentation als
PDF).

Das BIOS besteht i.A. aus einer Reihe mit LZH komprimierter Module, die
durch eine Prüfsumme vor Manipulationen geschützt sind, und einigen
unkomprimierten Modulen, u.a. dem Code zum Entpacken der restlichen
Module. Die Module werden beim Systemstart der Reihe nach abgearbeitet.
Ein idealer Angriffspunkt ist das Dekompressionsmodul, da es zum einen
nicht komprimiert ist und zum anderen selten bei Updates geändert
wird. Darin eingeschleuster Rootkit-Code wird noch vor dem Betriebssystem
gestartet und kann das dann nach Belieben manipulieren.

Da auch virtuelle Maschinen ein BIOS besitzen, können sie ebenfalls durch
ein BIOS-Rootkit infiziert werden.

Während ihrer Untersuchungen stießen Alfredo Ortega und Anibal
Sacco auf ein Rootkit, dass sich mit Wissen und Billigung der Hersteller im
BIOS einer Vielzahl von Notebooks verbirgt: Software zum Aufspüren
gestohlener Notebooks, speziell
“Computrace LoJack for Laptops”
von Absolute Software. Das ist prinzipiell kein Problem, wenn dieses
“gutartige Rootkit” aber nicht sicher implementiert ist, kann ein Angreifer
es einfach für seine Zwecke missbrauchen und seinen eigenen Code einfügen.
Wie das funktioniert, haben die beiden auf der Black Hat USA 2009
vorgeführt
(Präsentation und Paper
dazu).
Der Vorteil so eines Angriffs: Die meisten Virenscanner würden, wenn sie
überhaupt ein Rootkit erkennen würden, die “gutartige” Lösung von Absolute
Software erkennen. Entsprechend wurde auch im Blog von Sophos die Frage
aufgeworfen,
ob auch der “Computrace Agent” als potentielle Schadsoftware erkannt werden
sollte.

Ob jemals ein BIOS-Rootkit “in the Wild” existieren wird, ist zweifelhaft,
da es sehr genau an das angegriffene BIOS angepasst sein muss und damit nur
einen sehr begrenzten “Lebensraum” zur Verfügung hat. Sehr wahrscheinlich
wird es sich für die Cyberkriminellen nicht lohnen, Schadsoftware für einen
so kleinen Markt zu entwickeln. Was nicht bedeutet, dass nicht im Rahmen
gezielter Angriffe ein BIOS-Rootkit zum Einsatz kommen kann, da der
Angreifer dann ja sein Ziel i.A. sehr genau kennt und zielgerichtet
vorgehen kann. Generell ist das BIOS aber nicht vor Schadsoftware sicher,
wie der 1998 entdeckte, EXE-Dateien infizierende Virus CIH (Beschreibung
von
F-Secure
und
Symantec)
bewies: Der überschrieb auf bestimmten Rechnern das BIOS, so dass der
Rechner danach nicht mehr starten konnte. Rechner ohne dieses BIOS kamen
aber auch nicht ungeschoren davon, da der Virus außerdem an bestimmten
Tagen, i.a. dem 26. April jedes Jahres (dem Jahrestag der
Reaktorkatastrophe in Tschernobyl) alle Daten auf der Festplatte
überschreibt.

Rootkits in PCI-Karten

Noch bevor Alfredo Ortega und Anibal Sacco BIOS-Rootkits beschrieben, war
John Heasman in ähnlichen Bereichen aktiv: Auf der Sicherheitskonferenz
BlackHat Europe 2006
beschrieb er
die Implementierung und Erkennung eines BIOS-Rootkits über das
“Advanced Configuration and Power Interface” (ACPI) (Präsentation als
PDF),
und auf der Konferenz Black Hat DC 2007 folgte unter dem Titel
“Firmware Rootkits and the Threat to the Enterprise”
ein Vortrag über die Implementierung und Erkennung eines PCI-Rootkits
(Paper als
PDF,
eine frühere Version des Papers
(PDF)
wurde bereits im November 2006 veröffentlicht).

Ein Rootkit z.B. im Firmware-Speicher eine Grafik- oder Netzwerkkarte
würde während des Power-On-Self-Test (POST) und damit noch vor
dem Betriebssystem gestartet und könnte dies dann beliebige
manipulieren.

Auch hier gilt wieder: Ein großmaßstäbliches Auftreten “in
the wild” ist zwar unwahrscheinlich, aber zumindest theoretisch
möglich.

Rootkits im EFI der Macs

Auf der Konferenz Black Hat USA 2007 nahm sich John Heasman dann das u.a.
von Apple für die Mac verwendete Extensible Firmware Interface (EFI) als
Ziel
vor (Paper als
PDF).
BIOS-Rootkits sind also eine Systemgrenzenüberschreitende Bedrohung. Zumal
es einem BIOS-Rootkit sowieso egal ist, welches System verwendet wird, da
es ja noch vor dem System gestartet wird. Die Unterscheidung zwischen Mac
und Windows-/Linux-PC ergibt sich lediglich aus den unterschiedlichen
BIOS-Implementierungen (EFI für Mac, zumindest damals herkömmliches BIOS
für Windows).

Und wieder gilt… aber das kennen Sie ja schon.

Rootkits in Cisco-Routern

Sebastian Muñiz stellte 2008 auf der Sicherheitskonferenz EUSecWest ein
Rootkit für Cisco-Router vor (Präsentation als
PPT,
Paper als
PDF).
Sein “DIK” (“Da Ios rootKit”) genanntes Rootkit beweist, dass auch
sehr spezielle Betriebssysteme nicht vor Rootkits sicher sind. Ein
Angreifer, der einen Router unter seine Kontrolle gebracht hat, kann das
Rootkit installieren und ist danach für einen das Netzwerk
prüfenden Administrator unsichtbar, da dessen Kontrollen darauf
angewiesen sind, dass die Netzwerkgeräte korrekte Daten liefern. Und
genau das ist im Fall des unterminierten Routers ja nicht mehr der Fall.

Das Auftreten von Rootkits in Netzwerkhardware, nicht nur von Cisco, “in
the wild” ist im Gegensatz zu dem von BIOS- und PCI-Rootkits durchaus
möglich. Allerdings weniger im Form sich selbst verbreitender
Schadsoftware (obwohl auch z.B. ein Wurm für Router theoretisch möglich
ist), sondern in Form manipulierter und/oder
gefälschter Geräte.

Ein Rootkit für Industriesteuerungen

Ein weiteres hardware-nahes Rootkit machte im vorigen Jahr Karriere:
Stuxnet
enthält auch Rootkit-Funktionen und war damit das
erste
Rootkit für Industriesteuerungen.

Damit ist unsere Reise durch die Welt der Rootkits fast beendet. In der
nächsten Folge
gibt es zum Abschluss noch einen kurzen Überblick
über Rootkits für Smartphones und Mac OS X.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware

Ransomware: Geld her, oder die Daten sind weg

Spyware – Der Spion in Ihrem Computer

Viren – Infektiöse Schadsoftware mit langer Ahnenreihe

Würmer – Schadsoftware, die sich selbst verbreitet

Trojaner – Der Feind im harmlosen Programm

Zeus – Trojaner, Botnet, Schädlingsbaukasten, …

Exploit-Kits – Die Grundlage für Drive-by-Infektionen

Rootkits

Rootkits – Schadsoftware im System

Rootkits gegen Festplattenverschlüsselung und für BSoD

TDL4 – Gefährliches Botnet oder nur eine neue Sau im digitalen Dorf?

SubVirt und Blue Pill – Rootkits mit Virtualisierung

Rootkits für Xen und SMM

Rootkits (fast) in der Hardware

Rootkits für Smartphones und Mac OS X

Remote Administration Toolkits – Fernwartung in der Grauzone

Botnets – Zombie-Plagen im Internet

Schadsoftware – Infektionen verhindern

Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : Wie vertrauenswürdig ist "Hardware" eigentlich?

Vorschau anzeigen
Aus aktuellen Anlass mal eine Frage: Vertrauen Sie ihrem Rechner und ihrem Smartphone? Also dem reinen Gerät, nicht der installierten Software? Wenn ja: Warum eigentlich? Der aktuelle Anlass… Die Chinesen kopieren wirklich alles, wa

Kommentare

Ansicht der Kommentare:
Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben






Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.



Standard-Text Smilies wie 🙂 und 😉 werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!