image

Onderzoeker kan malware in netwerkkaart detecteren

vrijdag 27 september 2013, 13:43 door Redactie, 1 reacties

Een Duitse onderzoeker heeft een manier ontdekt om verborgen malware in videokaarten, netwerkkaarten en andere apparatuur te detecteren. Het gaat om malware die vanaf bijvoorbeeld een besmette netwerkkaart computers via direct memory access (DMA) aanvalt.

DMA-gebaseerde aanvallen die vanaf een netwerkkaart worden uitgevoerd kunnen de computer compromitteren zonder dat daarbij beveiligingslekken in het besturingssysteem zelf worden gebruikt. Daardoor zijn dit soort aanvallen een grote bedreiging voor zowel de veiligheid als integriteit van het systeem. Geen enkel besturingssysteem beschikt op dit moment over beveiligingsmaatregelen die DMA-gebaseerde aanvallen kunnen detecteren.

Detectie

Onderzoeker Patrick Stewin heeft echter een oplossing gedemonstreerd. Zijn methode is gebaseerd op het modelleren van de verwachte activiteit van de geheugenbus en vergelijkt die met de activiteit die daadwerkelijk plaatsvindt. BARM, zoals de oplossing heet, monitort continu de activiteit van de geheugenbus om zo toegang tot het geheugen te detecteren dat door een kwaadaardige videokaart of netwerkkaart is uitgevoerd.

Uit het onderzoek blijkt dat BARM niet alleen DMA-gebaseerde aanvallen kan detecteren en voorkomen, maar dat het ook nauwelijks impact op de prestaties heeft, omdat het gebruik kan maken van CPU-features op het x86-platform.

Keylogger

Dat malware in staat is om aanvallen via DMA uit te voeren heeft Stewin al eerder bewezen. Samen met Iurii Bystrov ontwikkelde hij DAGGER, een zo goed als onzichtbare DMA-gebaseerde keylogger die in staat is om zowel Linux- als Windowscomputers aan te vallen. DAGGER scant het geheugen op het fysieke adres van het toetsenbordbuffer, dat ook via DMA wordt gemonitord.

BARM kan deze activiteit echter detecteren en stoppen. Stewin zal zijn onderzoek naar de nieuwe detectiemethode volgende maand tijdens het 16e Symposium on Research in Attacks, Intrusions and Defenses in Saint Lucia presenteren.

Reacties (1)
27-09-2013, 17:44 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.