Neuer Scanner findet auch getarnte DMA-Malware
Das Werkzeug soll zukünftig dafür sorgen, die Systeme vor Angriffen über den Direct Memory Access (DMA) zu bewahren. Diese haben aktuelle Anti-Malware-Systeme bisher nicht auf dem Schirm und werden entsprechend kaum erkannt. Im Rahmen ihrer Forschung in dem Bereich hatten die Entwickler der TU mit DAGGER eine Software entwickelt, mit der Windows- und Linux-Systeme attackiert werden konnten.
DAGGER war ursprünglich nur ein Keylogger, wurde inzwischen aber um andere Funktionen erweitert. Das Tool ist außerdem in der Lage, sein Verhalten immer wieder zu ändern, um beispielsweise eine Mustererkennung ins Leere laufen zu lassen. "DMA-Malware ist so weit getarnt, dass ein Host ihre Präsenz nicht erkennen kann", erklärte Patrick Stewin, der das Forschungsprojekt leitet, laut einem Bericht des SC Magazine.
DMA erlaubt es Komponenten eines Rechners, direkt auf den Arbeitsspeicher zuzugreifen, ohne, dass die jeweilige Operation über den Prozessor laufen muss. Das soll die CPU entlasten und ermöglichen, dass Grafikkarten, Netzwerk-Module und andere Erweiterungen ihre Aufgaben direkt und unabhängig vom sonstigen Arbeits-Zustand des Rechners erledigen können. Auf diesem Weg können aber eben auch Attacken gefahren werden, mit denen Inhalte des RAMs ausgelesen oder manipuliert werden können, ohne dass klassische Virenscanner diese erkennen.
"Unglücklicherweise hat derzeit kein Betriebssystem Sicherheits-Mechanismen implementiert, die DMA-basierte Angriffe erkennen können", erklärte Stewin in einem Paper, das in Kürze offiziell vorgestellt werden soll. Inzwischen verfüge man aber über die Proof-of-Concept-Fassung eines Detektors, der es ermöglicht, entsprechende Malware ausfindig zu machen.
Dieser basiert auf einem Runtime-Monitor namens BARM, mit dem die Aktivität des Speicher-BUS überwacht und ungewöhnliche Entwicklungen erkannt werden sollen. Dies soll es letztlich ermöglichen, auch Malware ausfindig zu machen, die sich auf Peripherie-Systemen eingenistet hat. Im Gegensatz zu anderen Forschungs-Ansätzen in dem Bereich, soll der Scanner auch funktionieren, wenn bei den Komponenten keine speziellen Debug-Features aktiviert sind.
DAGGER war ursprünglich nur ein Keylogger, wurde inzwischen aber um andere Funktionen erweitert. Das Tool ist außerdem in der Lage, sein Verhalten immer wieder zu ändern, um beispielsweise eine Mustererkennung ins Leere laufen zu lassen. "DMA-Malware ist so weit getarnt, dass ein Host ihre Präsenz nicht erkennen kann", erklärte Patrick Stewin, der das Forschungsprojekt leitet, laut einem Bericht des SC Magazine.
DMA erlaubt es Komponenten eines Rechners, direkt auf den Arbeitsspeicher zuzugreifen, ohne, dass die jeweilige Operation über den Prozessor laufen muss. Das soll die CPU entlasten und ermöglichen, dass Grafikkarten, Netzwerk-Module und andere Erweiterungen ihre Aufgaben direkt und unabhängig vom sonstigen Arbeits-Zustand des Rechners erledigen können. Auf diesem Weg können aber eben auch Attacken gefahren werden, mit denen Inhalte des RAMs ausgelesen oder manipuliert werden können, ohne dass klassische Virenscanner diese erkennen.
"Unglücklicherweise hat derzeit kein Betriebssystem Sicherheits-Mechanismen implementiert, die DMA-basierte Angriffe erkennen können", erklärte Stewin in einem Paper, das in Kürze offiziell vorgestellt werden soll. Inzwischen verfüge man aber über die Proof-of-Concept-Fassung eines Detektors, der es ermöglicht, entsprechende Malware ausfindig zu machen.
Dieser basiert auf einem Runtime-Monitor namens BARM, mit dem die Aktivität des Speicher-BUS überwacht und ungewöhnliche Entwicklungen erkannt werden sollen. Dies soll es letztlich ermöglichen, auch Malware ausfindig zu machen, die sich auf Peripherie-Systemen eingenistet hat. Im Gegensatz zu anderen Forschungs-Ansätzen in dem Bereich, soll der Scanner auch funktionieren, wenn bei den Komponenten keine speziellen Debug-Features aktiviert sind.
Kommentar abgeben
Netiquette beachten!
Jetzt als Amazon Blitzangebot
Ab 08:05 Uhr 
Solarpanel und 6-in-1-Adapterkabel
Solarpanel und 6-in-1-Adapterkabel Original Amazon-Preis
239,99 €
Blitzangebot-Preis
203,99 €
Ersparnis zu Amazon 15% oder 36 €
Neueste Downloads
Video-Empfehlungen
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Folgt uns auf Twitter
Meist kommentierte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen