Thema: Die Rückkehr des BIOS-Trojaners

[SiLæncer]

Der chinesische AV-Hersteller 360 hat einen Schädling in der Wildnis entdeckt, der sich ins BIOS des Rechners einnistet. Dort entzieht er sich dem Zugriff herkömmlicher Virenscanner. Der Mebromi genannte Schädling prüft zu Beginn der Infektion, ob der Rechner des Opfers ein Award-BIOS nutzt. Ist das der Fall, führt er das Kommandozeilentool CBROM aus, um seine Erweiterung in das BIOS einzuklinken. Beim nächsten Systemstart platziert die BIOS-Erweiterung im Master-Boot-Record (MBR) der Festplatte weiteren Code, der vor dem Windows-Boot die Prozesse winlogon.exe und winnt.exe von Windows XP und 2003 respektive Windows 2000 infiziert.

Nach dem Windows-Start lädt der Schadcode ein Rootkit aus dem Netz nach, das verhindern soll, dass der MBR der Platte von einem Virenscanner bereinigt wird. Sollte dies doch einmal gelingen, wird die Infektionsroutine beim nächsten Start vom BIOS-Modul wiederholt. Auch einen Festplattentausch überlebt Mebromi mühelos. Falls auf dem Rechner kein Award-BIOS zum Einsatz kommt, begnügt sich der Schädling mit der Infektion des MBR.

Die Idee, eine Schadroutine im BIOS zu verankern ist nicht neu; kann sich der Schädling hier doch ungeachtet des Virenscanners austoben. Bereits 1999 hat der CHI-Virus versucht, das BIOS seines Wirts zu manipulieren. Allerdings hatte dies rein destruktive Auswirkungen, das BIOS wurde überschrieben und der Rechner startete anschließend nicht mehr. 2009 stellten Sicherheitsforscher ein Szenario vor, ein Rootkit im BIOS zu verankern. Bisher ist jedoch keinem BIOS-Schädling der Durchbruch gelungen. Vermutlich, weil es einfach zu viele unterschiedliche Mainboards gibt – und somit auch unterschiedliche Wege, das BIOS zu flashen.

Quelle : www.heise.de

[Jürgen]

In Anbetracht der heute üblichen BIOS-Settings fragt es sich, ob es solchen Schädlingen auch gelingen kann, einen ebenda gesetzten Schreibschutz zu umgehen.
Der berühmte Jumper ist ja leider vom Aussterben bedroht, zudem wird es zunehmend möglich, ein BIOS-Update auch unter Windows einzuleiten.
Ein gesetztes Passwort für's CMOS-Setup dürfte da nicht unbedingt helfen.

Ausserdem denke ich, auch (U)EFI wird man anzugreifen versuchen.
Immerhin werden die verbauten Chips immer grösser, sodass sich eine Menge Platz zum Parken von Schädlingen anbietet...

[SiLæncer]

Seit einigen Tagen macht der kanadische Sicherheitsforscher Dragos Ruiu mit der vermeintlichen Entdeckung einer Super-Malware von sich reden, die er "BadBIOS" nennt. Der Schädling verbreite sich mutmaßlich über USB-Laufwerke, soll das BIOS des befallenen Rechners kompromittieren und diverse Betriebssysteme infizieren – darunter auch Mac OS und OpenBSD. Das klänge alles nach einer paranoiden Wahnvorstellung, wäre die Informationsquelle nicht jener renommierte Sicherheitsforscher, der die bekannten Pwn2Own-Wettbewerbe ins Leben gerufen hat und weltweit bekannte Sicherheitskonferenzen veranstaltet.

Dem Anschein nach handelt es sich bei der Malware um ein sehr fortgeschrittenes Stück bösartigen Codes. Ruiu gab der Malware den Namen BadBIOS, weil sie sich mutmaßlich im BIOS oder einem anderen Mikro-Controller auf dem Mainboard des befallenen Rechners einnistet. Die genaue Infektionsmethode ist bislang unklar. Derzeit wird davon ausgegangen, dass die Malware neue Systeme über eine unbekannte USB-Sicherheitslücke befällt. Womöglich wird dabei die Firmware der betroffenen USB-Geräte überschrieben, um einen Pufferüberlauf oder eine andere Schwachstelle in USB-Treibern oder der Firmware auszunutzen.

Der ganze Artikel

Quelle : www.heise.de

[Jürgen]

Die

Idee der versteckten Kommunikation über Audiofrequenzen

ist kompletter Blödsinn. Für

hochfrequente Impulse

(also Ultraschall) sind übliche PC-Audiokomponenten überhaupt nicht geeignet. Ab ca. 16 kHz ist da meist Schluss, auch wenn die Hersteller teils mehr versprechen. Habe ich selbst oft genug sorgfältig nachgemessen.

Der Hauptgrund liegt in meist recht schlicht implementierten Anti-Aliassing-Filtern, die in der Regel auf die Samplingrate 44.1 kHz (also deutlich unter 22,5 kHz Grenzfrequenz) optimiert sind, und natürlich CE-Schutzfilter und schlicht billige Hardware-Komponenten daran.

Und alles unter diesen Grenzen würde der typische Nutzer selbst hören und also bemerken.
Außerdem würde eine Auswertung der sehr komplexen und meist durch Umgebungsgeräusche deutlich belasteten Audiosignale, für solche Zwecke natürlich in Echtzeit, erhebliche Ressourcen verbrauchen, was leicht auffällt.
Sonnenklar ist, eine geeignete Audio-Auswertung für den Zweck einer Datenübertragung darüber müsste am Zielrechner auch erst einmal installiert sein. Von selbst geht da gar nix.

Und wo sollte denn die Gegenstelle sein, für so einen Angriff?
Zumindest ja wohl im selben Raum.
Wer da schon drin ist, hätte aber meist leichtere und schnellere Wege zum Zugriff, als ausgerechnet Schallwellen.
Zumal Mikrofone nun wirklich nicht an jedem Computer vorhanden sind.
Und zumindest meine würden bei Anschluss eine Benutzeraktion erfragen und dies zudem protokollieren.
W-LAN, BlueTooth, IrDA, USB-Funk-Mäuse und -Keyboards, das sind heute die drahtlosen Wege.

Theoretisch geeignete Ultraschall-Sender fände man zwar auch in Form von Schaltnetzteil-Übertragern in vielen Geräten, aber solche Stufen verfügen über keinerlei zu Datenübertragung geeignete Schnittstellen.
Und selbst wenn man sowas einschleusen könnte, bräuchte man auch einen Datenrückweg, um die Intensität der Aussendung so einstellen zu können, dass ein notwendiges Minimum für eine Verbindung am Zielort gewährleistet ist, andererseits aber keine Sättigung am Empfänger auftritt, die Übertragungen unmöglich machte.

Zusammengefasst, nichts als Hirngespinste.
Aber geradezu ein Fressen für neppende esotherische Entstörer mit ihren piepsenden Strahlungs-Wünschelruten.
So verkauft man nicht nur Kupfer-Tapeten, sondern demnächst auch die Beschichtung für die Gummi-Zelle...

Jürgen

[SiLæncer]

Vor einer Woche ging der renommierte Sicherheitsforscher Dragos Ruiu mit Tweets über einen Supertrojaner an die Öffentlichkeit, den er "BadBIOS" taufte. Es soll sich dabei um einem im BIOS oder UEFI verankerten Schädling handeln, der sowohl unter Mac OS und OpenBSD als auch unter Windows aktiv bleibt. Ruiu geht davon aus, dass sich die Malware über USB-Medien verbreitet. Befallene Rechner sollen sich nicht mehr ohne Weiteres von CD booten lassen. Die erste Infektion seiner Systeme soll bereits vor drei Jahren stattgefunden haben.

Sicherheitsforscher sehen für BadBIOS keine Belege

Der erste Bericht über BadBIOS bei Ars Technica löste sowohl Entsetzen als auch Spott aus. Das von Ruiu beschriebene Verhalten übertrifft die Komplexität bisher bekannter Schädlinge bei Weitem. Mittlerweile hat Ruiu erste Daten an andere Sicherheitsforscher weitergegeben, etwa BIOS-Images, Festplatten-Images und Systemprotokolle an Arrigo Triulzi und Tavis Ormandy.

Deren Reaktionen fielen, freundlich gesagt, verhalten aus. Gegenüber Ars Technica erklärte Triulzi, in den bereitgestellten Daten nichts Verdächtiges gefunden zu haben. Auch Ormandy konnte in den Dumps keine Auffälligkeiten entdecken, abgesehen von geringen Inkonsistenzen in den Dumps. Diese erklärt er durch Festplattenfehler.

Das größte Medienecho fand die Behauptung, dass sich BadBIOS auch vom gezielten Abschalten aller Netzverbindungen (Air Gap) nicht aufhalten lasse. Ruiu hatte alle Verbindungen eines befallenen Rechners gekappt (Ethernet, WLAN und Bluetooth) und dennoch den Transfer von Datenpaketen beobachtet. Dabei kam er zu der Schlussfolgerung, dass infizierte Systeme einander notfalls über hochfrequente Audiosignale kontaktieren. Dies erschien vielen Beobachtern als reine Science Fiction.

Der ganze Artikel

Quelle : www.heise.de

[Jürgen]

Habe gerade mit meinem Mikro-Eingang gespielt, mein Yamaha Einmess-Mikro angeschlossen und Audacity mit 192 Kilosamples  und 32 bit einlesen lassen, bei geschlossenen Fenstern und absoluter Stille im Raum.

Der angehängte Rear Screenshot zeigt das über 10 Sekunden gemittelte Spektrum, hauptsächlich bestehend aus dem Rauschen des Mikros und des Eingangs.
Die vier kleinen Spitzen zwischen ca. 19 khz und 70 kHz zeigen elektromagnetische Einstrahlungen aus dem PC selbst, die die Onboard-Soundkarte einfängt.
Habe dieselbe Aufnahme wiederholt, mit in Watte und einer Gummimatte eingerolltem Mikro in einer geschlossenen Holzkiste, mit exakt demselben Ergebnis. Daher davon kein Bild.

Der Screenshot des Mikros am Front-Anschluss zeigt erheblich mehr Einstrahlungen, wohl ähnlicher den Verhältnissen an einem Notebook mit eingebautem Mikro.

Man beachte den extrem starken Abfall des Rauschpegels deutlich unterhalb der halben Abtast-Frequenz.
Das ist durch die Eingangs- und Anti-Aliassing-Filterung gegeben und unvermeidlich, betrifft Nutzsignale gleichermaßen.

Von daher wäre ein Empfang solcher Töne um 18,6 kHz sicherlich machbar.
Nur müsste der abgestrahlte Schallpegel schon ganz ordentlich sein, damit sich das Nutzsignal klar genug vom Rauschen und den ganzen Störungen abhebt.
Und man müsste die Standardeinstellungen der Soundkarte auf eine Samplingrate von jedenfalls mehr als 44.1 k (CD-Qualität, üblicher Standard) einstellen, damit das Anti-Aliassing-Filter nicht ganz erheblich stört.

Aber ich habe noch keinen PC-Lautsprecher erlebt, der solche Frequenzen ordentlich abstrahlt.

Stark erschwerend kommt hinzu, dass zwar viele Menschen bei über 18 kHz nicht allzu gut hören, aber eine langsame Modulation solch eines Trägers äußerst auffällig wäre.
Das ist eine bestätigte Tatsache.
So habe ich in Zeiten von Ultraschall-Fernbedienungen zwar den 38 kHz Träger nicht oder allenfalls noch als Druck am Ohr wahrgenommen, konnte aber die aufmodulierten Tastenbefehle als eine Art Knattern klar voneinander unterscheiden. Dabei war es egal, ob die Modulation in PCM erfolgte, oder bei älteren Modellen quasi-kontinuierlich wie bei der Telefon-Tonwahl (2 aus 5 oder 2 aus 7).

Bei nur knapp 19 kHz Träger könnte das wohl auch noch jemand mit den Ohren eines  alternden Drummers.
Frage dazu gelegentlich meinen Bruder, wenn er mal wieder hier ist...

Jedenfalls halte ich das ganze weiterhin für ausgemachten Blödsinn.

Jürgen

p.s.
Zweck meiner Messungen war natürlich nicht die Suche nach BadBIOS o.ä., sondern ein Test meiner zahlreichen kleinen Schaltnetzteile und LED-Treiber auf eventuelle akustische Abstrahlungen.
Ergebnisse waren zwar erkennbar, aber immer nur auf allerkürzeste Distanz (wenige cm) überhaupt nachweisbar und insofern völlig unbedenklich.
Die Dinger liefen in der Regel zwischen 13 und über 70 kHz.
Bei einigen wenigen konnte ich aber gar nichts hören (lassen).
Die laufen dann wohl viel zu schnell.

[moonchild]

Ruiu doch nicht der neue McAffee?
http://www.jocm.us/index.php?m=content&c=index&a=show&catid=124&id=600

[SiLæncer]

Wundert mich nicht wirklich ...

[moonchild]

Hat zwar nichts mit Bios Trojanern zu tun aber zum Kontext passt es wohl doch, akustische Signale aus Kondensatoren und Spulen: http://www.cs.tau.ac.il/~tromer/acoustic/

[SiLæncer]

Wer die Firmware eines USB-Sticks kontrolliert, kann den zu einem perfekten Trojaner umfunktionieren. Deutsche Forscher zeigen, dass das komplett via Software möglich ist und sich damit ganz neue Infektions-Szenarien eröffnen.

Ein infizierter Rechner genügt, um all Ihre USB-Sticks zu infizieren – oder den USB-Drucker und die Web-Cam. Und das auf eine Art und Weise, die weder zu entdecken noch rückgängig zu machen ist. Das klingt nicht nur unheimlich – es ist es auch und erinnert ein wenig an den angeblichen Super-Trojaner BadBIOS, der letztes Jahr Aufsehen erregte. Die konkreten Details will Karsten Nohl von den SRLabs in seinem Vortrag BadUSB - On accessories that turn evil auf der Black Hat präsentieren; gegenüber heise Security erklärte er jedoch vorab schon den technischen Hintergrund.

USB-Trojaner sind eigentlich ein alter Hut: Sie sehen aus wie Speicher-Sticks, enthalten aber in Wirklichkeit einen kleinen Computer, der sich als Tastatur am System anmeldet und es dann durch passende Eingaben kapert. Bereits 2011 warnte Adrian Crenshaw vor Malicious USB Devices; der Rubber Ducky macht sowas zum Kinderspiel. Doch die Forscher rund um Karsten Nohl präsentieren jetzt etwas ganz anderes: Sie können einen ganz normalen USB-Speicher-Stick in ein Trojanisches Pferd verwandeln – und zwar ganz ohne Lötkolben ganz allein via Software.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Ein Rootkit, das unabhängig vom Betriebssystem operiert, sämtlichen Speicher auslesen kann und durch den Tausch der Festplatte im System nicht gestoppt wird – was klingt wie eine IT-Gruselgeschichte haben zwei Forscher nun öffentlich präsentiert.

Zwei Sicherheitsforscher haben äußerst perfiden Schadcode geschrieben, der das BIOS des Rechners infiziert und unabhängig vom gebooteten Betriebssystem alle Fäden in der Hand hält. Damit lässt sich sogar eine komplett im RAM laufendes Live-Linux ausspähen. Zwar benötigt der Angreifer Admin-Rechte, um die Firmware mit den Schadcode zu flashen, dafür gehört ihm dann aber das System so grundlegend, dass selbst der Austausch der Festplatte nicht hilft.

Die beiden Forscher Corey Kallenberg und Xeno Kovah haben ihren Schädling namens LightEater am Wochenende auf der CanSecWest-Konferenz vorgestellt. Sie missbrauchen diverse Lücken in der UEFI-Firmware mehrerer Hersteller, um von einem Windows-System aus bösartigen Code dort zu platzieren. Dabei umgehen sie die Mechanismen, die eigentlich dafür sorgen sollen, dass nur befugte Nutzer die Firmware überschreiben dürfen. Zwei Sicherheitslücken dieser Art hatten sie bereits im Oktober 2014 vorgestellt.

"From the Deep Dark": Für das Betriebssystem unsichtbar

Hat sich LightEater einmal im System eingenistet, nutzt es den System Management Mode (SMM), um seine bösartigen Befehle auszuführen. Über SMM kann die Firmware ihr Unwesen unabhängig vom Betriebssystem treiben. Dieses bekommt von den Aktivitäten des Schadcodes nichts mit und kann sich dagegen auch nicht verteidigen. Dabei hat die Firmware direkten Zugriff auf den kompletten Speicher des Systems.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Sicherheitsforscher haben den BadUSB-Ansatz von Speichersticks losgelöst und in USB-Ladekabel implementiert.

Wer künftig sein Smartphone an einem Computer via USB-Ladekabel aufladen will, könnte seinen PC mit Malware infizieren. Die Sicherheitsforscher Vincent Yiu et al. haben modifizierte Ladekabel namens USBHarpoon mit Micro-USB- und Lightningsteckern vorgestellt. Die Kabel verfügen über eine alternative Firmware und melden sich als Eingabeinterface (HID) an Computern an. Anschließend könnte eine automatisierte Eingabe von Befehlen einen Trojaner installieren, führt Yiu in einem Blogeintrag aus.

Der ganze Artikel

Quelle : www.heise.de