Rootkits (fast) in der Hardware

Geschrieben von Carsten Eilers am Donnerstag, 19. Mai 2011 um 10:40

Rootkits verankern sich nicht nur tief im System, oder virtualisieren es, um sich vor ihm zu verbergen, sie können sich auch (fast) in der Hardware verstecken. Genauer: In der sie steuernden Firmware. So gibt es z.B.

Rootkits im BIOS

Rootkits, die sich im BIOS-Speicher einnisten, überstehen sogar das Formatieren oder sogar einen Austausch der Festplatte. Wie ein Rootkit das BIOS manipulieren kann, haben Alfredo Ortega und Anibal Sacco auf der Sicherheitskonferenz CanSecWest 2009 vorgeführt (Präsentation als PDF).

Das BIOS besteht i.A. aus einer Reihe mit LZH komprimierter Module, die durch eine Prüfsumme vor Manipulationen geschützt sind, und einigen unkomprimierten Modulen, u.a. dem Code zum Entpacken der restlichen Module. Die Module werden beim Systemstart der Reihe nach abgearbeitet. Ein idealer Angriffspunkt ist das Dekompressionsmodul, da es zum einen nicht komprimiert ist und zum anderen selten bei Updates geändert wird. Darin eingeschleuster Rootkit-Code wird noch vor dem Betriebssystem gestartet und kann das dann nach Belieben manipulieren.

Da auch virtuelle Maschinen ein BIOS besitzen, können sie ebenfalls durch ein BIOS-Rootkit infiziert werden.

Während ihrer Untersuchungen stießen Alfredo Ortega und Anibal Sacco auf ein Rootkit, dass sich mit Wissen und Billigung der Hersteller im BIOS einer Vielzahl von Notebooks verbirgt: Software zum Aufspüren gestohlener Notebooks, speziell "Computrace LoJack for Laptops" von Absolute Software. Das ist prinzipiell kein Problem, wenn dieses "gutartige Rootkit" aber nicht sicher implementiert ist, kann ein Angreifer es einfach für seine Zwecke missbrauchen und seinen eigenen Code einfügen. Wie das funktioniert, haben die beiden auf der Black Hat USA 2009 vorgeführt (Präsentation und Paper dazu). Der Vorteil so eines Angriffs: Die meisten Virenscanner würden, wenn sie überhaupt ein Rootkit erkennen würden, die "gutartige" Lösung von Absolute Software erkennen. Entsprechend wurde auch im Blog von Sophos die Frage aufgeworfen, ob auch der "Computrace Agent" als potentielle Schadsoftware erkannt werden sollte.

Ob jemals ein BIOS-Rootkit "in the Wild" existieren wird, ist zweifelhaft, da es sehr genau an das angegriffene BIOS angepasst sein muss und damit nur einen sehr begrenzten "Lebensraum" zur Verfügung hat. Sehr wahrscheinlich wird es sich für die Cyberkriminellen nicht lohnen, Schadsoftware für einen so kleinen Markt zu entwickeln. Was nicht bedeutet, dass nicht im Rahmen gezielter Angriffe ein BIOS-Rootkit zum Einsatz kommen kann, da der Angreifer dann ja sein Ziel i.A. sehr genau kennt und zielgerichtet vorgehen kann. Generell ist das BIOS aber nicht vor Schadsoftware sicher, wie der 1998 entdeckte, EXE-Dateien infizierende Virus CIH (Beschreibung von F-Secure und Symantec) bewies: Der überschrieb auf bestimmten Rechnern das BIOS, so dass der Rechner danach nicht mehr starten konnte. Rechner ohne dieses BIOS kamen aber auch nicht ungeschoren davon, da der Virus außerdem an bestimmten Tagen, i.a. dem 26. April jedes Jahres (dem Jahrestag der Reaktorkatastrophe in Tschernobyl) alle Daten auf der Festplatte überschreibt.

Rootkits in PCI-Karten

Noch bevor Alfredo Ortega und Anibal Sacco BIOS-Rootkits beschrieben, war John Heasman in ähnlichen Bereichen aktiv: Auf der Sicherheitskonferenz BlackHat Europe 2006 beschrieb er die Implementierung und Erkennung eines BIOS-Rootkits über das "Advanced Configuration and Power Interface" (ACPI) (Präsentation als PDF), und auf der Konferenz Black Hat DC 2007 folgte unter dem Titel "Firmware Rootkits and the Threat to the Enterprise" ein Vortrag über die Implementierung und Erkennung eines PCI-Rootkits (Paper als PDF, eine frühere Version des Papers (PDF) wurde bereits im November 2006 veröffentlicht).

Ein Rootkit z.B. im Firmware-Speicher eine Grafik- oder Netzwerkkarte würde während des Power-On-Self-Test (POST) und damit noch vor dem Betriebssystem gestartet und könnte dies dann beliebige manipulieren.

Auch hier gilt wieder: Ein großmaßstäbliches Auftreten "in the wild" ist zwar unwahrscheinlich, aber zumindest theoretisch möglich.

Rootkits im EFI der Macs

Auf der Konferenz Black Hat USA 2007 nahm sich John Heasman dann das u.a. von Apple für die Mac verwendete Extensible Firmware Interface (EFI) als Ziel vor (Paper als PDF). BIOS-Rootkits sind also eine Systemgrenzenüberschreitende Bedrohung. Zumal es einem BIOS-Rootkit sowieso egal ist, welches System verwendet wird, da es ja noch vor dem System gestartet wird. Die Unterscheidung zwischen Mac und Windows-/Linux-PC ergibt sich lediglich aus den unterschiedlichen BIOS-Implementierungen (EFI für Mac, zumindest damals herkömmliches BIOS für Windows).

Und wieder gilt... aber das kennen Sie ja schon.

Rootkits in Cisco-Routern

Sebastian Muñiz stellte 2008 auf der Sicherheitskonferenz EUSecWest ein Rootkit für Cisco-Router vor (Präsentation als PPT, Paper als PDF). Sein "DIK" ("Da Ios rootKit") genanntes Rootkit beweist, dass auch sehr spezielle Betriebssysteme nicht vor Rootkits sicher sind. Ein Angreifer, der einen Router unter seine Kontrolle gebracht hat, kann das Rootkit installieren und ist danach für einen das Netzwerk prüfenden Administrator unsichtbar, da dessen Kontrollen darauf angewiesen sind, dass die Netzwerkgeräte korrekte Daten liefern. Und genau das ist im Fall des unterminierten Routers ja nicht mehr der Fall.

Das Auftreten von Rootkits in Netzwerkhardware, nicht nur von Cisco, "in the wild" ist im Gegensatz zu dem von BIOS- und PCI-Rootkits durchaus möglich. Allerdings weniger im Form sich selbst verbreitender Schadsoftware (obwohl auch z.B. ein Wurm für Router theoretisch möglich ist), sondern in Form manipulierter und/oder gefälschter Geräte.

Ein Rootkit für Industriesteuerungen

Ein weiteres hardware-nahes Rootkit machte im vorigen Jahr Karriere: Stuxnet enthält auch Rootkit-Funktionen und war damit das erste Rootkit für Industriesteuerungen.

Damit ist unsere Reise durch die Welt der Rootkits fast beendet. In der nächsten Folge gibt es zum Abschluss noch einen kurzen Überblick über Rootkits für Smartphones und Mac OS X.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware

Ransomware: Geld her, oder die Daten sind weg

Spyware - Der Spion in Ihrem Computer

Viren - Infektiöse Schadsoftware mit langer Ahnenreihe

Würmer - Schadsoftware, die sich selbst verbreitet

Trojaner - Der Feind im harmlosen Programm

Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...

Exploit-Kits - Die Grundlage für Drive-by-Infektionen

Rootkits

Rootkits - Schadsoftware im System
Rootkits gegen Festplattenverschlüsselung und für BSoD
TDL4 - Gefährliches Botnet oder nur eine neue Sau im digitalen Dorf?
SubVirt und Blue Pill - Rootkits mit Virtualisierung
Rootkits für Xen und SMM
Rootkits (fast) in der Hardware
Rootkits für Smartphones und Mac OS X

Remote Administration Toolkits - Fernwartung in der Grauzone

Botnets - Zombie-Plagen im Internet

Schadsoftware - Infektionen verhindern

Schadsoftware im Überblick

Trackbacks

Trackback-URL für diesen Eintrag

Dipl.-Inform. Carsten Eilers am Montag, 23. Juni 2014: Wie vertrauenswürdig ist "Hardware" eigentlich?

Vorschau anzeigen

Aus aktuellen Anlass mal eine Frage: Vertrauen Sie ihrem Rechner und ihrem Smartphone? Also dem reinen Gerät, nicht der installierten Software? Wenn ja: Warum eigentlich? Der aktuelle Anlass... Die Chinesen kopieren wirklich alles, wa

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30