Vollständige Version anzeigen : Super-Malware im BIOS


CanHurry
03.11.2013, 11:41

Super-Malware "BadBIOS"

Seit einigen Tagen macht der kanadische Sicherheitsforscher Dragos Ruiu mit der vermeintlichen Entdeckung einer Super-Malware von sich reden, die er "BadBIOS (;nydus~org/news/25456;html)" nennt. Der Schädling verbreite sich mutmaßlich über USB-Laufwerke, soll das BIOS des befallenen Rechners kompromittieren und diverse Betriebssysteme infizieren ? darunter auch Mac*OS und OpenBSD.

;nydus~org/photo/news/63814;jpeg

Ruiu gab der Malware den Namen BadBIOS, weil sie sich mutmaßlich im BIOS oder einem anderen Mikro-Controller auf dem Mainboard des befallenen Rechners einnistet. Die genaue Infektionsmethode ist bislang unklar. Derzeit wird davon ausgegangen, dass die Malware neue Systeme über eine unbekannte USB-Sicherheitslücke befällt. Womöglich wird dabei die Firmware der betroffenen USB-Geräte überschrieben, um einen Pufferüberlauf oder eine andere Schwachstelle in USB-Treibern oder der Firmware auszunutzen.

Die eher schwammige Beschreibung der Fähigkeiten und Methoden der Malware erklärt Ruiu damit, dass BadBIOS sich aktiv vor Analysen schütze. Zur Kommunikation nach draußen nutzt BadBIOS angeblich versteckte Kanäle. Bei vorhandener Internet-Verbindung baue BadBIOS eine verschlüsselte IPv6-Verbindung zu unbekannten Kontrollservern auf – selbst wenn das Protokoll im Betriebssystem deaktiviert ist. Bei Rechnern ohne Internet-Zugriff soll die Malware imstande sein, andere infizierte Systeme in der Nähe über hochfrequente Impulse zu kontaktieren. Angeblich nutzt es die Lautsprecher und Mikrofone der befallenen Systeme, um "Air Gaps" in Netzwerken zu überwinden.

Darüber hinaus will Ruiu beobachtet haben, wie die Malware ohne sein Zutun Dateien löschte und Einstellungen änderte. Diese Phänomene sollen daraufhin auch auf anderen Rechnern mit OpenBSD, Windows und Linux eingetreten sein.

Eine derartig hartnäckige und ausgefuchste Malware ist zuvor noch nie in freier Wildbahn beobachtet worden. Einige der von Ruiu berichteten Phänomene wurden in abstrakter Form bereits auf Sicherheitskonferenzen diskutiert – darunter Infektionen des BIOS und der Firmware von Netzwerkkarten, um einer Erkennung oder Entfernung zu entgehen.

Zweifel am Wahrheitsgehalt: Bis jetzt ist aber noch keine derart hochentwickelte Bedrohung tatsächlich gesichtet worden. Stimmen die Angaben von Ruiu, wirken Schädlinge wie Stuxnet gegenüber BadBIOS wie das "Hello World" der Virologie. Die Beschreibung der Fähigkeiten des neuen Schädlings übertrifft alle bisher bekannt gewordene staatlich geschriebene Malware, kommerzielle Spyware und kriminelle Malware bei Weitem.

Es gibt allerdings Gründe zum Zweifel an dem Wahrheitsgehalt von Ruius Aussagen. Es könnte sich dabei um eine Falschmeldung oder einen PR-Gag handeln – etwa für die Mitte November stattfindende Sicherheitskonferenz PacSec, die Dragos Ruiu ausrichtet.

Super-Malware BadBIOS wirft Fragen auf | heise online (;;;heise~de/newsticker/meldung/Super-Malware-BadBIOS-wirft-Fragen-auf-2038240;html)
---------------------------------

Gibt es diesen Virus wirklich? Finde es schon beachtlich, dieser Virus könnte eine Menge Schaden verursachen.

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
Die_Quelle
03.11.2013, 13:13

Holt die Aluhüte raus :rolleyes:

Die Begrüdung passt sehr gut. Denke das da ganze hier eine Luftnummer ist.
(;;;heise~de/security/news/foren/S-m-E-ein-unlustiger-PR-Gag-Begruendung-inside/forum-268663/msg-24335576/read/)


Lustig wärs.


Kadashi
03.11.2013, 14:51

"Bei Rechnern ohne Internet-Zugriff soll die Malware imstande sein, andere infizierte Systeme in der Nähe über hochfrequente Impulse zu kontaktieren. Angeblich nutzt es die Lautsprecher und Mikrofone der befallenen Systeme, um "Air Gaps" in Netzwerken zu überwinden;"

Also das muss ja wohl bullshit sein


MasterJulian
03.11.2013, 15:08

"Bei Rechnern ohne Internet-Zugriff soll die Malware imstande sein, andere infizierte Systeme in der Nähe über hochfrequente Impulse zu kontaktieren. Angeblich nutzt es die Lautsprecher und Mikrofone der befallenen Systeme, um "Air Gaps" in Netzwerken zu überwinden;"

Also das muss ja wohl bullshit sein

Äh nein. Alles was längere Kabel hat und direkt angesprochen werden kann, kann als Antenne genutzt werden. Gab vor Jahren schon auf dem Chaos Communication Congress einen sehr schönen Beitrag dazu. Hier wurde (wenn ich mich richtig erinnere) die LED am Bildschrimrand als mögliche Antenne zum Datenversand genannt.

Unabhängig davon ob die News echt sind oder nicht, technisch ist das auf jeden Fall machbar. Hier der angesprochene Beitrag vom 27C3 inkl. PoC: 27C3: The Hidden Nemesis (;events;ccc~de/congress/2010/Fahrplan/events/4174;en;html)
Das war bereits vor knapp 3 Jahren!

//edit: Und hier der Vortrag als Video:
;;;youtube~com/watch?v=tmZ4yXuDSNc


[Bensen]
03.11.2013, 16:50

Daten per Ton-Frequenzen zu übertragen ist schon möglich dauert zur zeit aber noch recht lange. Zudem müssen die Geräte die diese Frequenzen empfangen können ebenfalls infiziert sein, ansonsten funktioniert das ganze schon mal nicht.

Ob an der neuartigen Malware jetzt was dran ist oder nicht, sei dahingestellt :-)


phraser
03.11.2013, 23:47

Der Link von Die_Quelle sagt ja schon das Meiste. Desweiteren darf man natürlich nicht vergessen, dass diese "Super Malware" viele tausende Codezeilen für JEDES Board enthalten müsste.. Jedes Mainboard mit dem entsprechenden BIOS ist anders und kann nicht einfach mal so auf nem anderen Board eingesetzt werden.

Da wünsch ich dann viel Spaß bei den vielen Millionen Mainboards und verschiedenen BIOS-Systemen dafür. Mal davon abgesehen, dass dann auch noch die verschiedensten Treiber für Lautsprecher und Mikrofon dabei sein müssten (soll ja alles ohne Betriebssystem funktionieren) :p

Wer's glaubt..


eax
04.11.2013, 03:01

Hier findet ihr eine ausführlichere Erklärung Errata Security: #badBIOS features explained (;blog;erratasec~com/2013/10/badbios-features-explained;html) von Rob Graham er hält es für Plausibel, damit dürfte wenigstens belegt sein das es so etwas möglich ist und die Unkenrufe unrecht haben. ;)

Das Fazit
[..;]
Conclusion
Everything Dragos describes is plausible. It's not the mainstream of "hacking", but neither is it "nation state" level hacking. That it's all so plausible leads credence to the idea that Dragos isn't imagining it. Of course, since Dragos is an expert, his imagination is likely be full of factually correct details anyway, so maybe the plausibility of these hacks isn't such guarantee of truth.

Dragos has only been analyzing this for a few weeks. Presumably, he won't give us the full details for us to check out until the next CanSecWest conference. Until then, I guess we are all just blowing smoke about whether this is "real" or not;


Kadashi
04.11.2013, 14:06

Passend dazu

Schadsoftware per Bügeleisen - Haushaltsgeräte mit verstecktem WLAN in Russland aufgetaucht

Einige aus China stammende Haushaltsgeräte enthalten anscheinend eine versteckte WLAN-Funktion, die Schadsoftware verbreiten soll;


(;;;gamestar~de/hardware/news/3029712/schadsoftware_per_buegeleisen;html#comments)


nohoff
04.11.2013, 16:28

Der Link von Die_Quelle sagt ja schon das Meiste. Desweiteren darf man natürlich nicht vergessen, dass diese "Super Malware" viele tausende Codezeilen für JEDES Board enthalten müsste.. Jedes Mainboard mit dem entsprechenden BIOS ist anders und kann nicht einfach mal so auf nem anderen Board eingesetzt werden.

Da wünsch ich dann viel Spaß bei den vielen Millionen Mainboards und verschiedenen BIOS-Systemen dafür. Mal davon abgesehen, dass dann auch noch die verschiedensten Treiber für Lautsprecher und Mikrofon dabei sein müssten (soll ja alles ohne Betriebssystem funktionieren) :p

Wer's glaubt.;


dank UEFI gibts mittlerweile eine einheitliche Schnittstelle für alles ;)
da sind doch schon fast komplette browser ins uefi gemeiselt da brauchste 30-40 kb code um alles unterzubringen
natürlich nich mit dem typischen kiddy java skills


Dunno
21.12.2013, 19:57

Leute glaubt mir so etwas ist nicht von weit her geholt. Hatte da vor einiger Zeit auch ein kleines Problem mit ein paar sehr ausgefuchsten Hackern die einem Computer auch ohne Internetanschluss (weder per Kabel geschweige denn Wlan (auch keine Wlan Karte verbaut gewesen)) Befehle zukommen lassen konnten, das heißt es wurden Daten gelöscht, Registry Einträge erstellt das ganze System manipuliert und kontrolliert, wenns mit dem Internet verbunden war sowieso aber es hat auch funktioniert als kein Internetanschluss vorhanden war. Ich bin fast verrückt geworden habe im BIOS alles abgestellt ausser Maus/Tastatur und Festplatte so das mein System gerade ans Laufen kam aber trotzdem wurde dann Datensicherung eines Windows/Ubuntus abgebrochen. Laptop von nem Kumpel ausgeliehen, bei ihm funktionierte alles wunderbar, gerade bei mir zuhause rein gekommen angemacht das Ding noch nicht mal ein Netzwerkkabel dran gemacht einfach nur auf den Power Knopf gedrückt und als Benutzer angemeldet schon kam ein Blue Screen und alle Daten waren gelöscht. Ich hab bis heute keine Ahnung wie das geht ich hab mich knapp 1 Jahr auch in den für mich erreichbaren dunkelsten Ecken des Internets rumgetrieben aber keiner konnte mir sagen wie das funktioniert. Es werden mich alle für verrückt erklären und sagen ach der labert nur und sammelt wieder ein Post aber is nicht so. Ich weiss das hört sich an wie aus nem sehr sehr schlechten Drehbuch ist mir aber wirklich passiert.


Ähnliche Themen zu Super-Malware im BIOS
  • Malware!!
    Hi, also ich hab grad eben die neueste WinRAR VErsion installiert und leider einfach bei deer Instllation weitergeklickt ohne zu gucken was noch so installiert wird. Tja und dann kam auch schon son dubioses Symbol in der Taskleiste, irgendwas mit Free-Mp3s oder so. Und ich hab das Gefühl, da [...]

  • Audi A3 1.6 FSI - Super oder Super Plus?!
    Servus, kaufe mir nächste Woche nen Audi A3 Sportback 1;6 FSI Baujahr 12/2004. Hab ihn mir schon angeschaut, klasse Wagen und werd ihn auch zu 99,99% kaufen. Nun ist mir, nachdem ich wieder zu Hause war, eingefallen mal zu fragen mit was ich den tanken muss. Mal fix ins Internet geschaut, aber [...]

  • Super statt Super Bleifrei, schlimm??
    Hi, hab gestern bei Aral Super statt Super Bleifrei getankt, also stand zumindest nichts von bleifrei dran. ich muss eig bleifrei tanken, laut kraftstoffangabe. Is das jetzt sehr schlimm??? [...]

  • WO bekomm ich Aktuelle Bios Software für mein Bios Her?
    Hi! ich suche die Aktuelle Software für mein Bios! Da ich nix kaputtmachen will, weil ich mich damit garnich auskenn frag ich mal hier: Informationsliste Wert BIOS Eigenschaften BIOS Typ Award Award BIOS Typ Phoenix - AwardBIOS v6;00PG Award BIOS Nachricht V;V600DAP A04 12-03-2003 Datum System B [...]



raid-rush.ws | Imprint & Contact pr