Hacker verstopt rootkit in netwerkkaart
Een Franse beveiligingsonderzoeker is erin geslaagd om in de firmware van een netwerkkaart een rootkit te verstoppen. Volgens Guillaume Delugré biedt een netwerkkaart-rootkit allerlei voordelen. Zo is het een verborgen communicatiekanaal over de Ethernetlink en kan het netwerkframes onderscheppen en aanpassen, zonder dat het besturingssysteem dit door heeft.
Daarnaast zou de rootkit door toegang tot het fysieke geheugen het besturingssysteem kunnen corrumperen en is de malware niet binnen het OS te vinden, aangezien die zich op de netwerkkaart verstopt. Delugré gebruikte Broadcom Ethernet NetExtreme PCI netwerkkaarten, publiek beschikbare documentatie en gratis opensource tools voor zijn onderzoek. Ook reverse engineerde hij het EEPROM waar de firmware code wordt opgeslagen, alsmede het bootstrap proces van het apparaat, dat tot het uitvoeren van de firmware leidt. Uiteindelijk ontwikkelde Delugré een proof-of-concept rootkit die vanaf de CPU van de netwerkkaart draait.
Besturingssysteem
Standaard heeft de netwerkkaart DMA toegang nodig, zodat de netwerkframes tussen de driver en het apparaat zijn uit te wisselen. De firmware van de Fransman gebruikt speciale device registers, waarvan sommige niet gedocumenteerd zijn. Een aanvaller zou dan op afstand met de rootkit in de netwerkkaart kunnen communiceren en via DMA toegang tot het onderliggende besturingssysteem kunnen krijgen.
Tijdens de Hack.lu conferentie gaf Delugré deze presentatie, waarin hij zijn onderzoek bespreekt. Hieronder een video van wat er met een zelf ontwikkelde firmware voor netwerkkaarten mogelijk is.
Enige verschil is dat die ISA-kaarten meestal geen EEPROM hebben, maar een EPROM die met UV-licht gewist moet worden.
Met ISA-kaarten (en PCI-kaarten) heb je eigenlijk een groter veiligheidsprobleem dan met PCI-express, omdat alle kaarten in principe de data van andere kaarten kunnen lezen en in elk geval bij ISA, maar deels ook bij PCI kunnen ze data zelfs onderscheppen en aanpassen. Echter kan dat niet met elke willekeurige kaart.
Bij TV-kaarten kun je echter software op de kaart uitvoeren (er zit een RISC-processor in de BT878 bijvoorbeeld), waardoor de kans erop dus toeneemt.
Gelukkig echter dat je vrijwel geen PC meer zult vinden die dergelijk oude zooi kan gebruiken en al ondersteunen ze nog wel PCI, dan is de kans groot dat elk slot zijn eigen interrupt-lijnen heeft.
Voor netwerkkaarten lijkt het mij een goede check dat de firmware niet geflasht mag worden met een ethernet kabel erin. Dan gebeurt het in elk geval niet zo makkelijk ongemerkt.
En firmware-files zouden eigenlijk gesigneerd moeten worden, voordat ze geflasht zouden kunnen worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!