Onzichtbare rootkit nestelt zich in netwerkkaart
Gepubliceerd: Woensdag 24 november 2010
Auteur: Chris Broesder
Een onderzoeker is er via een vernuftig staaltje reverse engineering in geslaagd om een backdoor te schrijven die in de firmware van een netwerkkaart nestelt en onzichtbaar is in het OS.
Een onderzoeker van de Franse beveiligingsorganisatie Sogeti ESEC, Guillaume Delugré heeft een proof-of-concept code weten te schrijven die als rootkit kan fungeren op een netwerkkaart. Hiertoe heeft Delugré de firmware van een Broadcom Ethernet NetExtreme PCI Ethernet kaart bestudeerd.
Hij heeft openbare documentatie en open-source tools gebruikt om een firmware debugger te ontwikkelen. Ook heeft hij met reverse-engineering het formaat van de EEPROM doorgrond waar de firmware op staat.
Ontraceerbaar
Door de informatie die hij hieruit extraheerde, kon Delugré een eigen firmware code maken en de netwerkkaart flashen. Zijn code draaide daardoor op de CPU van de kaart.
Dit alles maakt het voor hackers mogelijk om een rootkit op de netwerkkaart te planten die veel voordelen biedt ten opzichte van conventionele backdoors. Het allergrootste voordeel is daarbij dat er geen spoor van de rootkit in het besturingssysteem te vinden is.
Delugré presenteerde zijn resultaten tijdens een recente demonstratie.
