mboost-dp1

SXC - Exian

Rootkit demonstreret direkte på et netkort

- Via The Register - , redigeret af Net_Srak , indsendt af akv

En ekspert fra det franske sikkerhedsfirma Sogeti ESEC demonstrerede for nyligt, hvordan han med offentligt tilgængelig dokumentation og frit tilgængeligt open source-software kunne manipulere med firmwaren i et Broadcom NetExtreme netkort.

Eksperten, Guillaume Delugré, kunne ud fra de indsamlede oplysninger finde ud af, hvordan firmwaren var lavet, ligesom han fandt ud af, hvordan han kunne skrive til netkortets EEPROM.

Det giver muligheden for at implementere for eksempel overvågningsfunktionalitet i firmwaren, hvilket operativsystemet ikke vil opdage.

I et simpelt eksempel viser Delugré, hvordan han gør det muligt for netkortet at svare på ping-anmodninger, selvom netkortet er blevet lukket ned af operativsystemet.

Delugré forklarer yderligere, at det vil være muligt for en hacker at kommunikere med netkortet og via DMA (Direct Memory Access) opnå adgang til operativsystemet.

Yderligere oplysninger, og en video der viser ping-eksemplet, kan ses på Sogetis hjemmeside.





Gå til bund
Gravatar #1 - Flexo82
25. nov. 2010 08:04
Sejt, men skraemmende
Gravatar #2 - gensplejs
25. nov. 2010 08:07
Feeee. en virus der inficere dit netkort og logger al trafik... så har ens os satme tabt hehe....
Gravatar #3 - Mort
25. nov. 2010 08:17
Værre end at logge alt trafik, den kan have direkte adgang til hukommelsen (Via DMA) og kan lede efter spændende ting og sende dem afsted over netværket uden du har en chance for at opdage det.

Heldigvis er der ikke så meget processorkraft på netkortets processor, så det er nok begrænset hvor stor skade det kan gøre, men potentialet er der stadig, hvis et stykke kode ved præcis hvad det leder efter.
Gravatar #4 - Ramius
25. nov. 2010 08:45
#3 og det har tid nok. Hvis nogen leder efter noget specifict(filer med passwords) og bare sætter det til at bruge 20% af netkortets ressourcer. Så kan det godt være at det vil tage en måned at komme igennem alle filer på en maskine, men hvis der samles filer fra 100.000 maskiner på en gang så er tiden ikke et problem.
Gravatar #5 - scaarup
25. nov. 2010 08:50
#2 Hvad siger du?
Gravatar #6 - Cervio
25. nov. 2010 09:08
ualmindeligt skræmmende.

#3 jeg tror sku nok at den hacker der kunne finde på at bruge denne metode, er villig til at vente de adskillelige uger bare for det...

en ting der undrer mig dog, kan dette ske trådløst eller kræver det direkte adgang?

og er det specifikt for dette kort eller alle kort?
Gravatar #7 - lorric
25. nov. 2010 09:37
Er det ikke en misforståelse at kalde det et rootkit? Det har jo intet med hverken root eller operativsystem at gøre. Det gør intet specielt for at skjule sig, udover at ligge et sted hvor operativsystemet / antivirus traditionelt ikke kikker efter malware.

Virus eller worm er vel mere korrekt, og det er jo ikke engang tilfældet endnu, eftersom det blot er blevet demonstreret at det kan gøres... manuelt.
Gravatar #8 - Nize
25. nov. 2010 10:05
#7

En entitet der kan køre på din maskines hardware, uden du kan se det, og har evne til at "peeke/poke" i ram på din maskine er et fint rootkit.
Gravatar #9 - homer
25. nov. 2010 11:36
#2's Sætning er roleplay Polle fra Snave.. så giver det mening.

OT: Men det jo netkortet han roder med, så han er allerede "inde" så hvordan er det et rootkit?

Gravatar #10 - lorric
25. nov. 2010 12:07
#8 men det giver jo ikke root adgang. Det kan f.eks. ikke læse filer eller ændre din bootsector. Og hvem siger det kan ændre værdier i din memory?
Gravatar #11 - mee
25. nov. 2010 18:46
Minder om gutten der demonstrerede at man kan installere en keylogger i Apple tastaturer.
Gravatar #12 - røvskæg
25. nov. 2010 20:18
Godt vi har NemID.
Gravatar #13 - p1x3l
25. nov. 2010 21:34
#10 >
http://en.wikipedia.org/wiki/Direct_memory_access skrev:
Direct memory access (DMA) is a feature of modern computers and microprocessors that allows certain hardware subsystems within the computer to access system memory for reading and/or writing independently of the central processing unit.


første linie på wiki -.- tror er svært at opnå meget mere root access end det da det enda går uden om cpu så antivirus/os ser ikke at mem bliver læst/ændret

etc:
disable av thru dma
wget someothervirus
inject someothervirus

hmm virker umidelbart som en stor sikkerheds risiko det dma.
Gravatar #14 - lorric
26. nov. 2010 14:16
#13 Jo, men kan du med DMA skrive vilkårlige steder i memory? Det tvivler jeg sgu stærkt på.

Jeg er enig i at hvis man kan, så er det pubad.
Gravatar #15 - ty
26. nov. 2010 14:43
lorric (14) skrev:
#13 Jo, men kan du med DMA skrive vilkårlige steder i memory? Det tvivler jeg sgu stærkt på.


Det kan man. At det normalt ikke sker, skyldes at hardwaren/driveren opfører sig korrekt (normalt).
Gravatar #16 - lorric
27. nov. 2010 19:26
Så er det pubad
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login