Rakshasa
Neuer Trojaner infiziert BIOS und CD-Laufwerk
Antiviren-Tools und selbst Experten stehen beim Trojaner Rakshasa vor einem Problem. Die Malware frisst sich viel tiefer ins System als die üblichen Schädlinge.
Der besonders fiese Backdoor-Trojaner Rakshasa – benannt nach einem hinduistischen Dämon – infiziert nicht nur BIOS, sondern auch die Firmware von CD-Laufwerk oder der Netzwerk-Karte. Auf der Festplatte hinterlasse Rakshasa keine Spuren. Schickt ein Opfer also die Festplatte zu einem Sicherheitsunternehmen, können diese nichts feststellen. Und die eigene Antiviren-Software durchleuchtet üblicherweise das BIOS nicht. Aber selbst wenn Rakshasa entdeckt wird und selbst wenn es gelingt, den Trojaner durch Wiederherstellung des BIOS aus dem System zu vertreiben, komme er wieder über die infizierte Firmware der Peripherie-Geräte, warnt der Entwickler von Rakshasa.
Der Entwickler warnt vor seinem eigenen Trojaner? Ja, denn Rakshasa ist ein Proof of Concept. Das bedeutet: Er wurde entwickelt um eine Sicherheitslücke zu beweisen, nicht um Schaden anzurichten. Der Entwickler namens Jonathan Brossard ist CEO der französischen Sicherheitsfirma Toucan System. Sein Trojaner überschreibt das BIOS mit einer Kombination der Open-Source-BIOS-Alternativen Coreboot und SeaBIOS. Das Opfer müsse also das Original-BIOS wiederherstellen und sämtliche Firmware der Peripherie neu aufspielen. Das gelingt nur PC-Profis mit der entsprechenden Ausrüstung.
Der Angriff könne sowohl lokal (also mit Zugriff auf den Rechner), als auch aus der Ferne ausgeführt werden. Und der Zugriff auf den Rechner könne schon in der Fabrik bei der Herstellung der Einzelteile erfolgen, warnt Brossard. Viele Computer würden in China hergestellt werden, auch Macs, fügt er hinzu. Der Angriff aus der Ferne hingegen funktioniere nicht immer, weil einige Peripherie-Geräte einen physischen Schalter haben, der beim Firmware-Update betätigt werden müsse.
Zwar hat Brossard Rakshasas Baupläne nicht veröffentlicht. Weil die Komponenten aber bekannt sind, könnten fähige Hacker ähnliche Schädlinge nachbauen.
Der Entwickler warnt vor seinem eigenen Trojaner? Ja, denn Rakshasa ist ein Proof of Concept. Das bedeutet: Er wurde entwickelt um eine Sicherheitslücke zu beweisen, nicht um Schaden anzurichten. Der Entwickler namens Jonathan Brossard ist CEO der französischen Sicherheitsfirma Toucan System. Sein Trojaner überschreibt das BIOS mit einer Kombination der Open-Source-BIOS-Alternativen Coreboot und SeaBIOS. Das Opfer müsse also das Original-BIOS wiederherstellen und sämtliche Firmware der Peripherie neu aufspielen. Das gelingt nur PC-Profis mit der entsprechenden Ausrüstung.
Der Angriff könne sowohl lokal (also mit Zugriff auf den Rechner), als auch aus der Ferne ausgeführt werden. Und der Zugriff auf den Rechner könne schon in der Fabrik bei der Herstellung der Einzelteile erfolgen, warnt Brossard. Viele Computer würden in China hergestellt werden, auch Macs, fügt er hinzu. Der Angriff aus der Ferne hingegen funktioniere nicht immer, weil einige Peripherie-Geräte einen physischen Schalter haben, der beim Firmware-Update betätigt werden müsse.
Zwar hat Brossard Rakshasas Baupläne nicht veröffentlicht. Weil die Komponenten aber bekannt sind, könnten fähige Hacker ähnliche Schädlinge nachbauen.
02.08.12
und was ist mit UEFI ?
Antwort schreiben
02.08.12
Zudem ist stark anzunehmen, das sich ein Script über eine infizierte Webseite verbreitet und dieser erst mit Hilfe des Browsers den Trojaner und die andere umfangreiche Schadsoftware herunter lädt.
Was macht man in solchen Fällen zur Vorbeugung?
...
Keine Panik verbreiten und die Benutzung von Firefox mit NoScript empfehlen
Antwort schreiben
02.08.12
Das das jetzt so düster gemalt wird, unterlässt die Erkenntnis, daß es ja nicht so bleiben muß, wie es jetzt ist - nämlich daß ein Laie nicht die Firmwäre seiner Geräte bearbeiten kann. Wie dieser Trojaner beweist, ist es sehr leicht, an diese heran zu kommen. Es muß also nur Microsoft Windoof endlich mal - anstatt dauernd neue infantile Upgrades zu produzieren - das Programm vernünftig gestalten. Und zwar so, daß es zu den Einbauten die Firmware vollautomatisch vom Hersteller oder wo auch immer herholen kann und neu aufspielen. Dann wäre das alles kein großer Schaden, wenn so eine Seuche über den PC hereinbricht.
Antwort schreiben
02.08.12
so arg proof of concept ist das wohl nicht mehr. für apple gibts genau soetwas
http://www.heise.de/security/meldung/EFI-Rootkit-fuer-Macs-demonstriert-1654997.html
edit: ach ja, das betriebssystem bzw virenscanner kann genau gar nichts machen, wenn schon das bios / efi verseucht ist
Antwort schreiben
02.08.12
Antwort schreiben
02.08.12
Antwort schreiben
02.08.12
Unglaublich das es wirklich Anwender gibt die Trusted Computing haben wollen.
Antwort schreiben
02.08.12
Dann könnte man wieder den (die) Amiga auspacken.
Antwort schreiben
02.08.12
Ja dann ist alles gut, Coreboot unterstützt gerade mal 250 Boards und das eher schlecht als recht. Wie das erst mit den Peripherie Geräten aussehen soll kann ich mir gut vorstellen, die ganze Hardware ist im Eimer.
Im Übrigen muss man Coreboot immer an die Hardware anpassen, auf der es laufen soll. Das sagen selbst die Coreboot Entwickler, dass das unter Umständen. Wenn es sich um neuere Hardware handelt, 6 Wochen dauern kann.
Sprich Die Firmware umprogrammieren und das von Spezialisten.
Von einfachen Anwendern war da nicht die Rede, wie das jetzt von Zauberhand Automatisch von statten gehen soll ist mir Schleierhaft.
Wäre es so einfach, hätte ich vor Jahren schon zu Coreboot gewechselt.
Antwort schreiben