Reverse Engineering – Netzwerkkarten Rootkit stellt gute Tarnung dar

Sicherheitsexperten haben demonstriert, dass es möglich ist, ein Backdoor Rootkit auf einer Netzwerkkarte zu installieren. Hr. G. Delugré, ein Ingenieur der Firma Sogeti ESEC, der sich auf Reverse Engineering spezialisiert hat, konnte dies in einer Studie beweisen und seinen Code ausführen, nachdem er die Firmware des Herstellers Broadcom Ehternet NetExtreme PCI Ethernet Cards genauer untersucht hatte.

Er verwendete zuerst öffentlich verfügbare Dokumentationen und Open Source Tools um einen Firmware Debugger zu entwickeln. Im Reverse Engineering-Verfahren stellte er dann das Format des EEPROMs her, in dem der Firmware-Code gespeichert ist, sowie den Bootstrap-Prozess des entsprechenden Gerätes. In dem er sein derart erlangtes Wissen nutzte, war Delugré in der Lage seine eigens angepasste Firmware zu erstellen, und die Netzwerkkarte blinken zu lassen. Er führte sein Programm auf der CPU der Netzwerkkarte aus. Diese Methode von Delugré macht es möglich ein getarntes Rootkit, das auf der Netzwerkkarte platziert ist, einzubauen, welches einen erheblichen Vorteil vor anderen Hintertürchen hat. Ein Trace auf Betriebssystemebene wird wenig Erfolg haben um es zu finden, da es sich in der Netzwerkkarte versteckt hält. Die Netzwerkkarte muss aus baulichen Gründen einen Speicherdirektzugriff (DMA) durchführen, so dass Netzwerkframes zwischen dem Treiber und dem Gerät ausgetauscht werden können, erklärt Delugré.

Aus Sicht der Firmware wird alles mittels speziell zugewiesenen Geräteregistern betrieben, von denen viele undokumentiert sind. Ein Angreifer könnte remote mit dem Rootkit in der Netzwerkkarte kommunizieren, um so Zugang auf die Betriebssystemebene zu erlangen, alles Dank DMA – Direktspeicherzugriff. Delugré stellte die Methode im November auf der hack.lu vor.

Alexander Tsolkas