|
Hardware-Malware Um es endgültig aus der Welt zu schaffen: Gibt es Malware, die Hardware befällt/befallen kann? Mir ist definitiv nichts außer CIH bekannt und ich glaube auch nicht, das es möglich ist, diverse EEPROM's/EPROM's oder andere Flashmodule mit Malware zu überschreiben. Was meint ihr? Paddy |
Es gibt meines Erachtens nach nur sehr wenig Malware die eine Hardware befallen kann/könnte! (durch diverse Schutzmechanismen der Hardware!) Wie du schon gesagt hast zum CIH-Virus, jedoch schon vor langer Zeit. Was jedoch möglich ist (war) ist ein Rootkit was den Bios-Speicher "flashen" kann. Habe aber selbst solch einen Fall noch nicht kennen gelernt! Jedoch ist sehr gut vorstellbar, das eine Malware sich an einen Systemprozess koppeln kann(!) um somit Schaden anzurichten. Beispiel: Jedes Gerät im PC wird durch das Betriebssystem und dem Prozessor verwaltet. Nun wäre es doch vorstellbar das z.B. Malware sich an diese Prozesse koppelt oder droppt, um beispielsweise die Lüftersteuerung der GPU zu deaktivieren.. Somit könnte das System zum Absturz, im schlimmsten Fall sogar zum "durchbrennen" gebracht werden! Es gibt ja auch diverse Übertaktungstools die einen direkten Zugriff auf das Gerät haben können, also warum soll das auch nicht mit Malware funktionieren? Rein technisch könnte das möglich sein.. ;) Sinn und Zweck einer Malware ist jedoch nicht die Zerstörung des Systems (Hardware), sondern es geht ja zu 90% nur um finanzielles. |
Okay, das Ganze klingt eigentlich plausibel. Zitat:
|
Also es gab mal ein Test, ob man Malware im Prozessor einschleussen könnte, das Ergebnis war: Ja man könnte. Hier der Test: http://security.magnus.de/viren-trojaner/artikel/prozessor-virus-cpu-exploit.html |
ist nicht auch die festplatte hardware? wenn ja dann wäre ja jeder ein hardware virus. oder nicht?:lmaa: |
Zitat:
Es gab mal einen, der behauptete, man könne die Flash-Chips von den IDE-Controllern infizieren. ;) |
Ich glaube mal, dass in Sachen Hardware-Malware es keine große Zukunft geben wird außer beim Router. Da die meiste Malware ja programmiert wird um Geld zu verdienen und man glaube ich z.B. bei Prozessor-Malware nicht viel oder gar kein Geld verdient. |
Zitat:
Wär mir neu. |
Moin Zitat:
MFG EDIT : http://www.pcwelt.de/start/sicherhei...uliert_router/ |
Davon hab ich auch oft gehört (Ein anderer Name: DNSChanger). Ich dachte, er konfiguriert ihn nur um (Da man vom Rechner aus auf den Router zugreifen kann), sodass man in die schöne Ukraine umgeleitet wird und befällt ihn nicht gleich. :confused: |
Also ich weis dass ich irgendwo eine Zeitschrift rumliegen, wo groß drauf steht ,,Virus befällt Router,, Ich werde mal schauen wo ich sie habe und werde dann die Zusammenfassung posten. |
Na hoffentlich heißt diese nicht "Bild-Zeitung". :D |
Nein, es ist ein ziemlich origineller Name:rolleyes: PC-Magazin und die Homepage ist magnus.de Ich werde jetzt mal suchen |
Na dann wollten die eben ein bisschen mehr "Dramatik" unterbringen. ;) |
Also ich habe sie gefunden ich werds mir kurz durchlesen und dann posten also:Virus greift Router an ( Antiviren Software absolut machtlos) Aus den ersten Zeilen konnte ich entnehmen, dass es sich um den DNSChanger handelt und ist eine neue Variante der Zlob-Familie. |
Zitat:
Zitat:
|
Das Szenario ist gruselig: Ein Spion greift auf ihr Heimnetzwerk zu, ohne dass sie davon etwas merken. Jedes Datenpaket, das sie ins Internet verschicken, kann der Angreifer mithören. So ist es ein Leichtes, eine Online-Transaktion mit einer Bank zu fälschen oder alle E-Mails mitzulesen. Noch schlimmer: Auf ihrem PC gibt es nicht die geringste Spur des Angreifers. EIn Virenscanner findet nichts, auch die Untersuchung von einer Boot-CD aus bringt kein Ergebnis. Router im Visier Ein solches Szenario ist im Juni 2008 Realität geworden: Der Trojaner DNSChanger, eine neue Variante der Zlob-Familie, nimmt Webserver und ein Web-Interface, das man über einen normalen Webbrowser aufruft. Asu dem Internet, also von außen, sind diese Konfigurationsseiten nicht erreichbar (nur manche Routermodelle erlauben das nach explizieter Freischaltung über eine verschlüsselte HTTPS-Verbindung). Bei vielen Routern ist die Konfiguration standardmäßig ohne Passwort oder mit einem Standardpasswort des Herstellers erreichbar. Viele Anwender belassen es dabei, schließlich galt bisher die Logik: Um Zugriff zu haben, muss ein Angreifer Zugang zum Haus-Lan haben. Abgesehen von einem geknackten WLAN erfordert das einen klassischen Einbruch. Der Rest folgt noch, da ich zu müde bin den Rest abzuschreiben. |
Musst du auch nicht abschreiben. ;) Klingt interessant, aber ich glaube, dass der Verfasser des Textes ein paar Wörtchen umgedreht hat. |
Klar ist besser, sonst verdrehe ich noch alles:D aber was hat der Verfasser umgedreht?:eek: |
Ich versteh nicht, warum der Angreifer (welcher auch immer gemeint ist) eine LAN-Verbindung haben muss, wozu auch immer. |
Vielleicht beantwortet sich deine Frage hiermit: Trojaner installieren Der Zlob-Trojaner hebelt diesen trügerischen Schutzmechanismus aus. Getarnt als Video-Codec auf präparierten Websites zeigt DNS-Changer einen Download-Dialog und trickst so viele Anwender damit aus. So auf dem PC installiert sucht der Trojaner gezielt nach einem Router und versucht, die Konfigurationsseite aufzurufen. Dabei versucht es DNSChanger zunächst ohne PAsswort und greift dann auf eine Liste mit Standardpasswörtern wie ,,12345,, oder ,,passwort,, zurück. Klappt das, stehen dem Trojaner sämtliche Parameter des Routers offen. DNSChanger konzentriert sich auf einem Eintrag, nämlich die Adresse des DNS-Servers. Standardmäßig holt sich ein Ruoter die IP-Adresse automatisch vom DSL-Provider, es ist aber auch vorgesehen, eine feste Adresse einzutragen. Danach verbleibt DNSChanger wie die meisten Trojaner auf dem infizierten PC. Genauso gut könnte ein künftiger Trojaner sich nach löschen und damit die Spuren auf dem PC verwischen. Es fehlt immer noch ein groser Teil des Artikels |
Klingt schon besser. :D |
Fortsetzung folgt: DNS umbiegen Das Domain Name System oder kurz DNS sorgt im Internet für Konvertierungen von Domainnamen wie www.pc-magazin.de in IP-Adresse wie 216.77.123.9. Nur über diese IP-Adresse ist ein Ziel-Computer erreichbar. Der Eintrag des DNS-Servers verweist nach dem Trojanerangriff auf einen Computer der Hacker. Im Klartext: Tippen sie im Browser eine Adresse wie www.online-banking.de ein, schickt ihr Router die Anfrage an den Hacker-PC. Der kann nun eine beliebige IP-Adresse zurückmelden, die etwa auf einen weiteren Hacker-PC verweist. Der holt sich die Originalseite der Bank, manipuliert den Inhalt und leitet ihn an sie weiter. Oder in beliebige Webseiten wird ein Exploit für die jeweils neuste Sicherheitslücke eingebaut, die dann etwa einen tagesaktuellen Keylogger installiert. Der Fantasie sind hier kaum Grenzen gesetzt, zumal alle Programme mit Internetzugriff davon betroffen sind. Von der ,,umgebogenen,, Adresse des DNS-Servers merkt man als Anweder zunächst nichts. Schließlich haben die kriminellen Hacker kein Interesse daran, aufzufallen. Die meisten Webseitenzugriffe klappen problemlos, nur ab und an passiert dann etwas Merkwürdiges. Flash ausnutzen Ein weitere Masche, die Konfiguration von DSL-Routern zu manipulieren, ist seit Anfang des Jahres bekannt: Ein Flash-Objekt auf einer scheinbar hamlosen Webseite greift mit ganz normalen ActionScript-Befehlen wie navigatetourl auf die UPNP Schnittstelle zu. ,,Universale Plug and Play,, ist dazu gedacht, unerfahrerenen Anwendern die mühselige Konfiguration eines Routers und andere Heimnetzwerkkomponenten wie Media-Server etc. abzunehmen. Eine Authentifizierung ist bei UPNP nicht vorgesehen. Über die Schnittstelle lassen sich praktische sämtliche Konfigurationseinstellungen wie Port Forwarding oder die DNS-Adresse des Routers anpassen. Da Flash plattformunabhängig ist, sind auch Mac- und Linuxmaschinen davon betroffen. Ausführlich berichtet darüber berichtet darüber das Blog GNUcitizen (www.grnucitizien.org/blog/flash-upnp-attack-faq/) Trübe Aussichten Die Juni-Version des Trojaners DNSChanger kommt nur mit einer kleinen Auswahl an DSL-ROutern zurecht. DIe in Deutschland weit verbreitete Fritz!Box ist noch nicht betroffen - Das kann sich aber jederzeit ändern. Ist die Masche für Kirminellen erfolgreich, kann man sich bald auf eine ganze Welle an Router-Angriffen einstellen. Das zeigt zum Beispiel der Angriff über UPNP. Dazu kann man sich wahre Horrorszenarien ausmalen: Der Trojaner könnte bestimmte Ports auf dem Router öffnen (Port Forewarding), die etwa den freien Zugriff auf lokale Netzwrklaufwerke und NAS-Systeme erlauben. Viele Anwender schützen diese nicht mit einem Passwort. Oder auf dem Router wird nicht nur die Konfiguration geändert, sondern die Firmware manipuliert. Dann könnte der Router zum Beispiel als Teil eines Botnets Spam versenden oder sonstige Aufgaben ausführen - schließlich hängt er rund um die Uhr am Internet. Im Moment wird der Angriff auf den Router über einen Trojaner oder ein Flash-Objekt auf dem lokalen PC geführt. Router sind aber auch nur Computer mit Betriebssystem, es könnte durchaus Sicherheitslücken geben, die eine direkte Infektion eines Routers mit einem Trojaner erlauben. Bis zum nächsten Router-Neustart bleibt der Spion dann auch ohne Firmware-Änderung aktiv. Bald kommen die Tips wie man sich schützen kann... |
Die nächste Fortsetzung brauchst du nicht posten. :rolleyes: btw. Hardware-Malware hat keine Zukunft. :juul: |
okay meinst du weil es viel zu viele verschiedene Router gibt? |
Nein, weil wenn Malware die Hardware (also CMOS Chips, EPROM/EEPROM's oder diverse andere Flashspeicher) befallen könnte, wäre das vom Hersteller derart leicht z.B. per Jumper zu unterbinden, sodass es sich überhaupt nicht rentieren würde. |
:lach: *ROFL* Viele MoBos die seinerzeit vom CIH/Tschernobyl befallen wurden, hatten so einen Jumper. Und rate mal wo der ab "Vobis" war? Natürlich könnte man einstellen, dass normaler Betrieb nur mit dem Jumper auf "Schutz gesetzt" möglich ist, aber eher spendiert mir das Spaghetti-Monster eine Pizza, als dass sich da alle dran halten würden. |
Zitat:
Man richte eine Backdoor ein -> installiere im Hintergrund ein Programm welches direkten Zugriff auf den context der CPU hat (ähnlich wie diverse Übertaktungstools) -> man steigert nun die VCore um 10% und wartet einfach ab ... :teufel3: Sollte das System beim ersten mal nur abstürzen, wiederhole man den Vorgang mehrmals.. |
Bei CIH war es IMHO nur ein spezielles Mainboard/BIOS, das überschrieben werden konnte. War das der Fall, zeigte der Rechner beim Booten nur kryptische Zeichen an. Aber wie gesagt, CIH war auf Zerstörung aus, heutzutage wollen Cyberkriminelle Geld machen oder ihr Botnetz erweitern. :teufel3: Edit: Zitat:
- Ein paar Millionen mit Rogue Software/Gpcode/Botnetzen verdienen - Rechner/CPU's schrotten :aplaus: Aber möglich wäre das, denk ich, schon. |
Zitat:
Zitat:
Zitat:
|
Ich meinte nur, das Hardware-Malware keine Zukunft hat. Btw. Glaubst du nun, das Hardware-Hersteller keinen Jumper einbauen würden oder umgekehrt? Wer kauft denn ein Produkt, bei dem man weiß, das es ohne Probleme befallen werden könnte und man es danach wegschmeißen muss? Ps. Hier wurde das Thema schonmal angekratzt: http://www.trojaner-board.de/27788-a...-stelle-2.html |
Zitat:
Und wegschmeißen muss man's ja nichtunbedingt zwangsweise müssen. Käme dann wieder auf die Konstruktion als ganzes an. |
Da hast du schon recht, aber bin mir nicht sicher, dass alle flashbaren Bausteine nicht gejumpert sind. Denn wenn Malware flashen kann, kann es der Anwender erst recht. Wär eine tolle Freizeitbeschäftigung, das rauszufinden. :D |
Zitat:
Nicht alle Anbieter bei ebay sind mit Vorsicht zu genießen, es gibt ziemliche viele, die neben Ihrem normalen Ladengeschäft eben auch über ebay, Amazon, Amprice usw. auch noch verkaufen ;) |
@cad: Ich weiß - zumindest vom Hörensagen. Es ging aber um die Käufer. :rolleyes: Allerdings sind auch viele normale Ladengeschäfte mit Vorsicht zu genießen, dies gilt ausdrücklich nicht nur für den IT-Markt. Paranoide Skespsis hat gesprochen, hugh! (oder wie hieß dies bei Karl May? Ist schon etwas lange her) Und ich habe nicht gesagt, dass alle Käufer vernunftresistent wären. Aber folgendes Silent sharK'sches Szenario: Ich könnte zwischen zwei Routern wählen, der eine ist gut, Bombengerät nur ohne Schutzjumper, wäre durch böswillige LAN-Teilnehmer/Backdoor auf LAN-PC zu killen. Der andere kostet wegen des Jumpers eventuell ein paar Euro mehr und ist sonst eher nicht so gut. Warum sollte ich (wenn ich alleine in meinem LAN wäre) denn den schlechten mit Schutzjumper nehemen. Ich habe noch nie aktive Malware bei mir gehabt. :rolleyes: Was würde ich also nehmen? |
Zitat:
|
Zitat:
Zitat:
Privat/alleine im Lan: Den Besseren ohne Jumper, da ich mich sowieso nie nur auf eine Schutzkomponente verlasse Beruflich: Abhängig vom Gesamtkonzept, wahrscheinlich den mit Jumper |
Solange der Betrieb stabil ist, würde ich "beruflich" die Jumperkiste nehmen, soweit nicht ein ordentliches Passwort setzbar, ausreichend wäre und die Verbindung sicher "genug" wäre. (dass eine Malware einen Man-in-the-Middle-Angriff plant, nur um an Routerpasswort zu kommen ist schon sehr theoretisch, außerdem übertragen bessere Router sowieso schon die Weboberfläche per https, falls vorhanden) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board