Altes Ziel, neuer Angriff - Rootkits im BIOS?

Ein Bericht über angebliche Rootkits im BIOS sorgte auf der Security-Konferenz des Schulungs- und Seminaranbieters Black Hat für Aufsehen. Demnach könnten sich im BIOS Rootkits verstecken, was den üblichen Sicherheits-Programmen das Leben schwer ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Hm, wenn das BIOS einwandfrei wäre, könnte man es ja auf ROMs anbieten :) Aber dass es Rootkits gibt, ist die eingentliche Sauerei!
 
@yikrazuul: Das BIOS auf einem ROM anzubieten wäre ein Rückschritt ins letzte Jahrtausend.
 
tjo - das erinnert echt an alte zeiten wo noch das bios hauptziel war. kenn ich noch aus den guten dos zeiten...
 
Aber mal abgesehen davon: Wie kommen die aufs Flashrom wenn man die Bios von offizieller Sites saugt und nicht irgendwo von fragwürdigen Quellen? Man darf doch hoffen, dass jeder Hersteller seine Downloads auf evt. Manipulationen hin überprüft.
 
@JTR: Ich nehme an, dass diese Rootkits nicht in einem binary-file versteckt sind, dass man selber installiert, sondern dass dieses Rootkit seine eigene Flash-Routine mitbringt und sich somit selber in's BIOS flashed...
Aber dies ist nur eine Vermutung.. Außerdem muss man immernoch den entsprechenden Schädling ausführen :)
 
@JTR: Mittlerweile liefern doch fast alle Mainboard-Hersteller Flashroutinen, die im laufenden Betrieb unter Windows ausgeführt werden können. Nimm dir also einfach mal so n Flashtool, sorg dafür dass die Ausführung nicht auffällt und laß es das Rootkit installieren....
 
@JTR: geht es evtl auch anders? Würde mich auch interessieren....
 
@JTR: Wie Mr_Maniac schon geschrieben hat, es muss immer noch ein Programm vom Benutzer ausgeführt werden, solange man nicht blind durchs Internet surft und auf alle OK Button drückt, Anhänge in Emails öffnet, von Absendern die man nicht kennt, sollte sich so ein Rootkit nicht einnisten können.
 
@JTR: gab es nicht mal einen Virus, der den BIOS-Baustein löschen konnte?
 
@Chrno: was es der CIH ?
 
@JTR: Aber oft bekommt man aus "fragwürdigen" Quellen BIOS und Firmware, welche gewisse Funktionen "freischalten" die offiziell nicht dem Anwender gegeben werden sollen. Nur sind solche Funktionen oft sehr "nützlich" (wenn auch in D nicht erlaubt)
 
@JTR: und was soll das sein!?
 
Wirkliche Absicherung verschafft auch einfach ein Schreibschutz, implementiert in Hardware als Jumper, wie es jedes ordentliche (d.h. aktuellerweise eher seltene) Mainboard bietet. Sehr viel Schutz verschaffen eingeschränkte Benutzerrechte, denn damit kann man das BIOS gar nicht erst flashen. Das, was die dort als Lösung anbieten, schützt aber so gut wie gar nicht.
 
@Rika: Vielleicht wollen sie auch nur Stimmung für 'Trusted Computing' machen :)
 
@Rika: So ein Schreibschutz lässt sich auch bei allen Boards mit gesockeltem BIOS-Chip problemlos "nachrüsten" wenn es nötig werden sollte: Chip rausnehmen,
den Spannungs-Pin fürs schreiben hochbiegen und Chip wieder einsetzen. Was anderes als diese Leitung zu unterbrechen macht der manchmal auf dem Board vorhandene Jumper auch nicht. Wenn man dann noch schnell eine Brücke mit Schalter einlötet braucht man vor dem nächsten BIOS-Update nichtmals den krummen Pin wieder gerade zu biegen.
 
War nicht schonmal die Rede von DRM per Bios?
 
@mcbit: Du meinst Trusted Computing? Hrhr Überwachungsstaat -.-
 
Na ja da tobt sich wieder so ein Scriptkiddy aus, son Angriff aufs Bios ist ja wirklich ne Meisterleistung^^
Frag mich nur was die sich davon erhoffen im schlimsten fall Bootet der Rechner nicht mehr na ja n neues E-Eprom drauf und das wars.
 
Ich denke die Möglichkeit einen Rootkit im BIOS zu implementieren, dürfte nur theoretischer Natur sein. Die Tauglichkeit für die Praxis wird schon aufgrund des geringen Speicherplatzes, schließlich muß das BIOS als solches ja erhalten bleiben, gegen Null tendieren
 
@Schließmuskel: Ich stimme Dir vollkommen zu und halte diese Meldung für Werbung für die nächste BIOS-Gerneration (also Blödsinn), denn ich habe noch niemals von einem BIOS-Virus gehört, geschweige denn jemals einen in freier Wildbahn erlebt. Was für eine gequirlte Scheiße! Falls jemand einen solchen Virus kennt, möchte er doch bitte eine seriöse Quelle mitposten. Ansonsten landet die Meldung in der FUD-Ecke.
 
Selbst bei 'nem 64KB-Baustein hast du im Schnitt noch 10 KB frei, bei aktuelleren 128er und 256er können das gibt zu 80 KB sein. Also Platz ist das genug. @goa-inge: Es geht darum, daß zukünftig so etwas genutzt werden wird. Daß es prinzipiell geht, ist ja schon nachgewiesen wurden.
 
@Rika: ja und, dann flash ich beim urladervorgang und die nutzerrechte sind für die katz ^^
 
Und wie bitte schön willst du das anstellen? Ohne die erforderlichen Rechten kann die den Bootvorgang nicht manipulieren.
 
@ goa-inge: "CIH" und "Chernobyl" waren z.B. solche, die jedes Jahr am 26. April, versuchten das BIOS zu überschreiben. :-)
 
also wenn das so kommen soll wird es neue Firmen geben die sich darauf spezialisieren die Bios zu reinigen..Also ein tool zum auslesen des momentanen Bios aus dem MotherBoard in ein Programm was ähnlich wie ein Virenscanner nach den Rootkits sucht...Anschliessend werden die bereinigten Bios wieder in den PC geschrieben.

Ich kann mir vorstellen das somit ein markt dafür geschaffen wird...Was wiederum ne sauerei ist....

Ich bin der meinung das der CCC oder andere dafür sorgen werden...das so ein Tool(wenn diese sache kommt) auch kommen wird....Hört sich an wie wunschdenken...Aber ich hab schon Pferde.........:-)
 
was passiert denn wenn man das bios dann per herkömmlicher diskette mit einem aktuellem bios neu flasht, ist der andere mist dann überschrieben ? ich denke mal ja.
 
um deine frage zu beantworten "goa-inge"
http://www.administrator.de/Virus_W32%7CKriz__zerst%F6rt_selbst_Hardware_und_BIOS.html
 
Es gibt Bios Viren. Ich selber könnte auch ein machen, das ist garnicht so schwer.

http://www.administrator.de/index.php?content=3

Da z.b - Und bei MSI Boards ist bei allen neuen auch ein CoreCell chip drauf, der ermöglicht das Bios im Windows zu flashen. Und die 8 kb die im Bios frei sind sind vollkommen ausreichend. Ich kanns z.b machen das wenn man eine Datei öffnet sich ein Befehl ins Bios schreibt und ein Prog auf der Platte kopiert. Und wenn ich dann den Rechner neu starte das Bios ein Dos Prog öffnet und bestimmte sachen macht. Und das dann einfach so machen das man nur ein Black screen hat und man denkt das der normal startet.
 
Ich kann da nur die Info posten, die ich zu CIH Zeiten gegeben habe. Bios Flash Jumper! Das ist der EINZIGE Schutz - alle softwaremäßigen Schutzroutinen sind zu umgehen, wenn aber die Flashspannung nicht gegeben ist - Pech für das Rootkit oder anderes Gewürm - ich nehme an, dass die MB Hersteller dementsprechend reagieren werden. Das das Rootkit schwer zu erkennen ist möchte ich bezweifeln - wenn abartige Routinen im BIOS/CMOS vorhanden wären, würden diese zwangsweise im POST durchgestartet werden. Und ewig grüßt das Murmeltier (DOS). Es hat zahlreiche BIOS/CMOS Würmer gegeben und alle haben sich durch den Programcounter verraten.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte