Rootkits in PCI-Karten

Ein infiziertes System ist nach dem Formatieren der Festplatte und einer Neuinstallation wieder sauber -- zumindest meistens. John Heasman zeigt auf, dass es durchaus möglich ist, im Erweiterungsspeicher von PCI-Karten für Grafik oder Netzwerk ein Rootkit zu platzieren. Noch vor dem Betriebssytemstart während des Power-On-Self-Test (POST) könnte es dort den Video-Interrupt 10h auf sich umbiegen. Wird dieser dann beim Start von Windows aufgerufen, lädt es weiteren Code aus dem Netz nach und manipuliert Kernelstrukturen, um sich die Kontrolle über das System zu sichern. Alternativ könnte ein Rootkit im Erweiterungsspeicher den Boot-Interrupt 19h auf sich verbiegen, um dann über die PXE-Funktionen moderner Netzwerkkarten weiteren Rootkit-Code nach zu laden.

Auch wenn Heasman das Verbreitungspotential solch Hardware-spezifischer Malware für nicht sonderlich hoch hält, beschreibt er Methoden sie aufzuspüren. Endgültigen Schutz vor solchen Manipulationen sieht er erst mit einem gesicherten Boot-Prozess, wie ihn ein Trusted Plattform Module (TPM) vorsieht.

Implementing and Detecting a PCI Rootkit von John Heasman (PDF) (ju)