Der Feind in der Netzwerkkarte

Rootkits sind manchmal schwer zu entdecken – vor allem, wenn sie direkt auf der Netzwerkkarte ausgeführt werden.

In Pocket speichern vorlesen Druckansicht 130 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Der Sicherheitsexperte Guillaume Delugré von Sogeti ESEC hat demonstriert, dass sich ein Rootkit nicht zwangsläufig auf dem Rechner einnisten muss: Mit Hilfe frei zugänglicher Tools und Dokumentationen hat er eine eigene Firmware für Broadcoms NetXtreme-Netzwerkcontroller entwickelt, in der er ein Rootkit versteckt hat. Dadurch ist es seitens des PCs durch übliche Virenscanner nicht aufspürbar.

Delugrés Code wird direkt von der MIPS-CPU der Netzwerkkarte ausgeführt und kann durch den Speicherdirektzugriff (Direct Memory Access, DMA) der PCI-Schnittstelle ohne Umwege mit dem Arbeitsspeicher kommunizieren – normalerweise tauschen Netzwerkkarten auf diesem Weg die Netzwerkframes mit dem auf dem Rechner installierten Treiber aus.

Der Angreifer kann aus der Ferne auf den Rechner zugreifen oder den Netzwerkverkehr belauschen. Broadcoms NetExtreme-Controller kommen vor allem bei Firmenkunden zum Einsatz. Netzwerkcontroller für Privatkunden werden in der Regel, wenn überhaupt, mit wenig Speicher ausgeliefert und sind nicht so flexibel programmierbar, sodass sie für einen solchen Angriff eher ungeeignet sein dürften.

Ganz neu ist dieses Angriffsszenario nicht: Bereits im Jahr 2006 hatte John Heasman im Erweiterungsspeicher von Grafik- und Netzwerkkarten ein Rootkit platziert, das jedoch nach dem Windows-Start Code aus dem Netz nachladen musste. Auch der Flash-Speicherchip des Mainboards, der für das PC-BIOS vorgesehen ist, eignet sich prinzipiell als Rootkit-Versteck. (rei)