Neuer Scanner findet auch getarnte DMA-Malware

Cpu, Ram, Mainboard Bildquelle: thskyt / Flickr
Einem Forschungsprojekt der Technischen Universität (TU) Berlin ist es gelungen, einen Scanner zu entwickeln, der auch Malware erkennen kann, die sich in der Peripherie von Computern versteckt.
Das Werkzeug soll zukünftig dafür sorgen, die Systeme vor Angriffen über den Direct Memory Access (DMA) zu bewahren. Diese haben aktuelle Anti-Malware-Systeme bisher nicht auf dem Schirm und werden entsprechend kaum erkannt. Im Rahmen ihrer Forschung in dem Bereich hatten die Entwickler der TU mit DAGGER eine Software entwickelt, mit der Windows- und Linux-Systeme attackiert werden konnten.

DAGGER war ursprünglich nur ein Keylogger, wurde inzwischen aber um andere Funktionen erweitert. Das Tool ist außerdem in der Lage, sein Verhalten immer wieder zu ändern, um beispielsweise eine Mustererkennung ins Leere laufen zu lassen. "DMA-Malware ist so weit getarnt, dass ein Host ihre Präsenz nicht erkennen kann", erklärte Patrick Stewin, der das Forschungsprojekt leitet, laut einem Bericht des SC Magazine.

DMA erlaubt es Komponenten eines Rechners, direkt auf den Arbeitsspeicher zuzugreifen, ohne, dass die jeweilige Operation über den Prozessor laufen muss. Das soll die CPU entlasten und ermöglichen, dass Grafikkarten, Netzwerk-Module und andere Erweiterungen ihre Aufgaben direkt und unabhängig vom sonstigen Arbeits-Zustand des Rechners erledigen können. Auf diesem Weg können aber eben auch Attacken gefahren werden, mit denen Inhalte des RAMs ausgelesen oder manipuliert werden können, ohne dass klassische Virenscanner diese erkennen.

"Unglücklicherweise hat derzeit kein Betriebssystem Sicherheits-Mechanismen implementiert, die DMA-basierte Angriffe erkennen können", erklärte Stewin in einem Paper, das in Kürze offiziell vorgestellt werden soll. Inzwischen verfüge man aber über die Proof-of-Concept-Fassung eines Detektors, der es ermöglicht, entsprechende Malware ausfindig zu machen.

Dieser basiert auf einem Runtime-Monitor namens BARM, mit dem die Aktivität des Speicher-BUS überwacht und ungewöhnliche Entwicklungen erkannt werden sollen. Dies soll es letztlich ermöglichen, auch Malware ausfindig zu machen, die sich auf Peripherie-Systemen eingenistet hat. Im Gegensatz zu anderen Forschungs-Ansätzen in dem Bereich, soll der Scanner auch funktionieren, wenn bei den Komponenten keine speziellen Debug-Features aktiviert sind. Cpu, Ram, Mainboard Cpu, Ram, Mainboard thskyt / Flickr
Diese Nachricht empfehlen
Kommentieren16
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Aktuelle IT-Stellenangebote

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden