Neues Versteck für Malware

Hardware-nahe Rootkits

Mittwoch den 14.05.2008 um 10:55 Uhr

von Frank Ziemann

Sicherheitsforscher haben einen Weg gefunden, wie ein Rootkit in einem Speicherbereich untergebracht werden kann, der für das Betriebssystem und somit auch für Antivirus-Software nicht zugänglich ist.
Rootkits dienen heute dazu Malware vor der Entdeckung durch Schutzprogramme zu bewahren. Spezielle Anti-Rootkit-Funktionen in Antivirus-Software können jedoch bekannte Rootkits an Hand der von ihnen verursachten Anomalien aufspüren. Um die Entdeckung und Entfernung ihrer Tarnkappen zu erschweren, bedienen sich Rootkit-Programmierer verschiedener Tricks, wie etwa das so genannte MBR-Rootkit demonstriert . Forscher der Sicherheitsfirma Clear Hat Consulting in Florida haben nun ein Rootkit entwickelt, das den System Management Mode (SMM) von Intel-Prozessoren missbraucht, um sich zu verstecken.

Der System Management Mode ist ein spezieller Betriebszustand des Hauptprozessors, den Intel mit der 80386-Generation eingeführt hat. Er dient etwa zur Behandlung auftretender Systemprobleme wie Speicherzugriffsfehlern oder CPU-Überhitzung, dem Power-Management, der Emulation nicht vorhandener Hardware oder bei manchen Notebooks auch zur Systemkonfiguration.

Der Prozessor kann in seiner Firmware Programmroutinen zur Abarbeitung der durch Hardware oder Software gemeldeten Betriebsprobleme enthalten. Dazu wird die Ausführung des Betriebssystems und der darin laufenden Programme für einige Taktzyklen angehalten. Dauert dies unerwartet lange, stürzen Windows und Linux ab.

Da das Betriebssystem keinen Zugriff auf die in der Firmware gespeicherten Routinen hat, kann ein Antivirus-Programm auch nicht nach darin enthaltenen Schädlingen suchen. Wie genau sich das zur Tarnung von Malware ausnutzen lässt, haben die Forscher noch nicht veröffentlicht. Das Problem derart Hardware-naher Malware ist, dass sie zur vorhandenen Hardware passen muss. Sicherheitsforscher erwarten daher den Einsatz solcher Techniken eher bei gezielten Angriffen als bei massenhaft verbreiteter Malware.

Shawn Embleton und Sherri Sparks wollen ihre Entwicklung im Sommer auf der Sicherheitskonferenz Black Hat 2008 in Las Vegas demonstrieren. Ihr SMM-Rootkit soll als Schadensroutinen einen Key-Logger sowie ein Kommunikationsprogramm mitbringen. Damit könnte ein solcher Schädling vertrauliche Daten ausspionieren und an einen Server im Internet übermitteln.

Mittwoch den 14.05.2008 um 10:55 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
18186