WCM Forum - BadBIOS: Potentieller Supervirus befällt alle Systeme

WCM Forum (http://www.wcm.at/forum/index.php)

- IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)

- - BadBIOS: Potentieller Supervirus befällt alle Systeme (http://www.wcm.at/forum/showthread.php?t=247033)

BadBIOS: Potentieller Supervirus befällt alle Systeme

Zitat:

Unter dem Namen "BadBIOS" kursiert laut einem Sicherheitsforscher derzeit ein bislang unbekannter Super-Schädling im Netz: Die Malware infiziert Rechner unabhängig vom Betriebssystem, löscht beliebige Daten und ändert Einstellungen. Der Schädling verbreitet sich der Beschreibung zufolge ausschließlich über USB-Geräte und befällt anschließend das BIOS des Rechners. Dementsprechend spielt es keine Rolle, welches Betriebssystem auf dem PC läuft: BadBIOS ist in der Lage, sowohl Windows- als auch OS X und OpenBSD-Systeme zu infizieren.

BIOS-Infektion per USB-Stick

Wie genau die Infektion gelingt, ist derzeit noch nicht bekannt. Klar scheint aber, dass die Malware eine bislang unentdeckte Schwachstelle im USB-Standard zur Verbreitung ausnutzt. Dabei könnte der Schädling die Firmware von USB-Geräten gegen eine modifizierte Version austauschen und so zum Beispiel einen Pufferüberlauf erzeugen, um den Schadcode einzuschleusen. Die exakten Verhaltensmuster von BadBIOS seien nur schwer herauszufinden, da sich der Schädling gut vor Analysen verstecken könne: Die Datenübertragung zu seinen Kontrollservern soll BadBIOS über eine verschlüsselte IPv6-Verbindung aufbauen. Liegt keine Netzwerkverbindung vor, kann BadBIOS offenbar andere Rechner in der Nähe über unhörbare Audiosignale erreichen.

Zu gefährlich um wahr zu sein

Entdeckt wurde BadBIOS vom Sicherheitsforscher Dragos Ruiu, der laut eigenen Angaben bereits vor drei Jahren mit dem Schädling infiziert wurde. Neben Informationen zur Malware selbst fehlen jedoch noch stichhaltige Beweise seitens des Entdeckers: Der Beschreibung zufolge würde es sich bei BadBIOS um einen extrem ausgeklügelten Schädling handeln, der herkömmlicher Malware weit voraus wäre. Der Wahrheitsgehalt von Ruius Entdeckung wird unter Security-Experten deshalb angezweifelt. Dragos Ruiu hat der Sicherheitsfirma Sophos jedoch bereits angeboten, ein Sample von BadBIOS zur Verfügung zu stellen. (mag)

Quelle: http://www.chip.de/news/BadBIOS-Pote..._65235066.html

Na hoffentlich stimmt das wirklich nicht. :eek:

Zitat:

Liegt keine Netzwerkverbindung vor, kann BadBIOS offenbar andere Rechner in der Nähe über unhörbare Audiosignale erreichen.

Und dann? Die werden ja nicht antworten bzw. überhaupt in irgendeiner Weise reagieren.

Tsts, was so alles zu geben scheint, erst Bügeleisen-Chips und dann das? :confused:
... grad hier gelesen ...

"badBIOS": Neue Malware macht Sicherheitsforscher ratlos
http://derstandard.at/1381370833785/...orscher-ratlos

Na ja, das mit der Schallübertragung klingt schon etwas weit hergeholt, sie könnten auch noch per Blinksingnalen der HD-LED kommunizieren. ;)

Ich zitiere aus dem Beitrag vom Christof:

>>Entdeckt wurde BadBIOS vom Sicherheitsforscher Dragos Ruiu, der laut eigenen Angaben bereits vor drei Jahren mit dem Schädling infiziert wurde. <<

???????????????.

Stz.

Er sucht halt ein bißchen länger. ;)

Ich denke da braucht es neue Denkansätze.
Ultraschallsignale zu erzeugen ist kein Problem. Lautsprecher, HD, CD ROM, Spannungswandler,... können bei entsprechender Ansteuerung entsprechende Signale liefern. Das Know How steckt im Empfänger. Da fällt mir im Moment nur das Mikrofon ein, dass bei Notebooks standardmässig verbaut ist und Signale entsprechend verstärkt und gefiltert weren können. Das geht sicherlich nur bei eingeschaltenen Rechener, möglicherweise steuert eine VM die Komponenten am Betriebssystem vorbei an.
Da man von der Voyager die Signale noch empfangen kann (ist schon ziemlich weit weg), sollte es auch im Niederfrequenten Bereich möglich sein. Ist halt eine Frage des Aufwandes.

Können Standardmikrofone überhaupt Ultraschallsignale wandeln? Bzw. die Soundkartenlogik?

Zitat:

Supertrojaner BadBIOS: Unwahrscheinlich, aber möglich

Vor einer Woche ging der renommierte Sicherheitsforscher Dragos Ruiu mit Tweets über einen Supertrojaner an die Öffentlichkeit, den er "BadBIOS" taufte. Es soll sich dabei um einem im BIOS oder UEFI verankerten Schädling handeln, der sowohl unter Mac OS und OpenBSD als auch unter Windows aktiv bleibt. Ruiu geht davon aus, dass sich die Malware über USB-Medien verbreitet. Befallene Rechner sollen sich nicht mehr ohne Weiteres von CD booten lassen. Die erste Infektion seiner Systeme soll bereits vor drei Jahren stattgefunden haben.
Sicherheitsforscher sehen für BadBIOS keine Belege

Der erste Bericht über BadBIOS bei Ars Technica löste sowohl Entsetzen als auch Spott aus. Das von Ruiu beschriebene Verhalten übertrifft die Komplexität bisher bekannter Schädlinge bei Weitem. Mittlerweile hat Ruiu erste Daten an andere Sicherheitsforscher weitergegeben, etwa BIOS-Images, Festplatten-Images und Systemprotokolle an Arrigo Triulzi und Tavis Ormandy.

Deren Reaktionen fielen, freundlich gesagt, verhalten aus. Gegenüber Ars Technica erklärte Triulzi, in den bereitgestellten Daten nichts Verdächtiges gefunden zu haben. Auch Ormandy konnte in den Dumps keine Auffälligkeiten entdecken, abgesehen von geringen Inkonsistenzen in den Dumps. Diese erklärt er durch Festplattenfehler.

Das größte Medienecho fand die Behauptung, dass sich BadBIOS auch vom gezielten Abschalten aller Netzverbindungen (Air Gap) nicht aufhalten lasse. Ruiu hatte alle Verbindungen eines befallenen Rechners gekappt (Ethernet, WLAN und Bluetooth) und dennoch den Transfer von Datenpaketen beobachtet. Dabei kam er zu der Schlussfolgerung, dass infizierte Systeme einander notfalls über hochfrequente Audiosignale kontaktieren. Dies erschien vielen Beobachtern als reine Science Fiction.

Netzverbindung über Audiosignale durchaus machbar

Tatsächlich ist eine versteckte Datenübertragung über Audio jedoch durchaus von dieser Welt. heise Security liegt ein Technical Paper von zwei deutschen Forschern vor, die am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie tätig sind. Darin beschreiben sie im Detail, wie sie ein verstecktes Netz aus mehreren Lenovo-Laptops aufbauen konnten, die mit einer Reichweite von bis zu 20 Metern miteinander kommunizierten. Das Paper mit dem Titel "On Covert Acoustical Mesh Networks In Air" soll Mitte des Monats im Journal of Communications erscheinen.

........

Quelle und ganzer Artikel: http://www.heise.de/newsticker/meldu...h-2043114.html

Das Mikro schon. Ist je weiter es mit der Frequenz nach oben geht unempfindlicher. Ich denke mit Boardmitteln wir die Soundkarte bei 20 kHz begrenzen. Da baucht es schon Insiderwissen, wie man die vorgegeben Grenzen überwindet.

Malware-Prototyp überträgt Daten durch unhörbare Audiosignale

Zitat:

Zwei deutsche Informatiker haben durch einen Malware-Prototypen nachgewiesen, dass Daten eines Computers über unhörbare Audiosignale übertragen werden können. Damit werden auch Rechner angreifbar, die aus Sicherheitsgründen nicht über WLAN, Netzwerkkarten oder das Internet verbunden sind. Das gefährdet selbst hochsichere Umgebungen mit einem “Air Gap” zwischen Computern und der Außenwelt, wenn etwa eine Infektion über ein USB-Medium erfolgt.

Michael Hanspach und Michael Goetz vom Fraunhofer-Institut FKIE nutzten bei ihrem Experiment die integrierten Lautsprecher und Mikrofone, um Daten zwischen zwei T400-Notebooks von Lenovo zu übertragen. Sie setzten für die Kommunikation eine Software ein, die ursprünglich für die Übertragung von Daten unter Wasser entwickelt wurde. Die Forscher nutzten dabei einen Frequenzbereich knapp unterhalb der Ultraschallgrenze.

Die relativ geringe Bandbreite genügte immerhin, um kritische Informationen zu übermitteln. “Wenn Sie einen Keylogger haben, der Eingaben zur Authentifizierung erkennen kann, dann genügt es, gelegentlich die aufgefangenen Passwörter weiterzuleiten”, erklärte Michael Hanspach. Die Forscher veröffentlichten die Ergebnisse ihres Experiments im November im Journal of Communications.

Die beiden Rechner konnten über eine Entfernung von bis zu 20 Metern miteinander kommunizieren. Darüber hinaus gelang es bei einem Versuchsaufbau mit fünf Notebooks, die Signale von einem Rechner zum nächsten und dann weiter zu übertragen – bis schließlich ein Computer mit Internetzugang die Daten aus diesem verdeckten Mesh-Netzwerk an ein entferntes Ziel weiterleiten konnte. Ein solches Szenario wäre laut Michael Hanspach auch mit Smartphones oder Tablets denkbar.

Das Experiment fachte erneut die Diskussion über den Supertrojaner BadBIOS an, von dem der renommierte Sicherheitsforscher Dragos Ruiu berichtete. Er soll auch über ein “Air Gap” hinweg kommunizieren können, was aber bislang für praktisch unmöglich gehalten wurde. Inzwischen schließen jedoch nicht mehr alle Experten aus, dass mit staatlicher Unterstützung entwickelte Malware in der Leistungsklasse von Stuxnet oder Flame über solche Fähigkeiten verfügen könnte.

Die Fraunhofer-Forscher schlagen in ihrem Papier auch verschiedene Abwehrmaßnahmen gegen solche Angriffe vor. Das beginnt beim Abschalten der Audiofunktionen, was die Hardware jedoch oft erschwert. Infrage komme auch eine Filterung der zur Übertragung genutzten Frequenzen. Weiterhin empfehlen sie ein Intrusion-Detection-System, das Audiosignale für die spätere Analyse aufzeichnet.

Quelle: http://www.zdnet.de/88178099/prototy...-audiosignale/

Es funktioniert also doch. :eek:

Aber was tun bei einem normalen PC ohne Lautsprecher? Wenn es sich eben um Hochsicherheits-Rechner handelt...
Aber nett, daß es doch geht. Wird Bluetooth überflüssig? :D

Und treiben mit Entsetzen scherz; die richtigen Leute werden schnell auf den Zug aufspringen und unbedarfte User werden sich wundern.