BadBIOS

 

Keyfacts

  • entdeckt2010 (von Dragos Ruiu)         
  • sicher aktiv seit: gegenwärtig unbekannt
  • letzte Aktualisierung: gegenwärtig unbekannt
  • Verbreitung: gegenwärtig unbekannt
  • Infektion und Replikation: modifizierte USB-Sticks deren Firmware möglicherweise überschrieben wird, dabei Infektion vieler unterschiedlicher Betriebssysteme was auf eine mutmaßliche Infektion des BIOS/UEFI oder anderer Controller auf dem Mainboard hinweist
  • Hauptziel: Malware löscht Dateien, ändert Einstellungen und Registry-Keys 
  • Vermutliche Herkunft: gegenwärtig unbekannt

Relevante Dokumente

Bei BadBIOS handelt es sich möglicherweise um ein neue Form ein besonders ausgeklügelten Malware, die für das Überbrücken von „Air gaps“ spezialisiert wurde. Außerdem soll die Malware über den Infektionsweg des BIOS in der Lage sein, sehr viele unterschiedliche Betriebssysteme zu infizieren und sich effektiv gegen einen Großteil der klassischen Sicherheitsmaßnahmen zu wehren. Für das Überwinden des Air gaps soll BadBIOS in der Lage sein mithilfe der Lautsprecher und Mikrofone eines Laptops andere infizierte Systeme in der Nähe über hochfrequente Impulse zu kontaktieren und Datenpakete auszutauschen. Bislang sind kaum weitere technische Details bekannt, da der Entdecker von BadBIOS (der renommiere IT-Security-Forscher Dragos Ruiu) sich noch nicht genauer öffentlich geäußert hat. Noch ist daher unklar, welche Qualität BadBIOS wirklich hat. Die IT-Sicherheits-Community ist sich jedoch einig, dass die beschriebenen Angriffs- und Kommunikationsmethoden durchaus funktionieren können. Unter „relevante Dokumente“ findet sich eine aktuelle Studie des Fraunhofer Institutes, die auf Basis einfacher Thinkpad-Laptops ein Ad-Hoc-Netzwerk etablierten und auf diese Weise per akustischer Übertragung eine Datenrate von 20bit/s erzielt haben. Eine solche Datenrate wäre bspw. ausreichend um geloggte Passworte in entkoppelten Systemen mitzuschneiden und per Netzwerk auszuleiten. Darüber hinaus wurde vor wenigen Wochen im Zuge der NSA-Veröffentlichungen ein Programm namens „GENIE“ bekannt, dessen herausragende Eigenschaft im Überbrücken von Air gaps bestehen soll. Unter anderem deshalb werden die Ankündigungen  von Dragos Ruiu als seriös betrachtet und mit Spannungen erwartet.

Die Sicherheitsforscher Corey Kallenberg und Xeno Kovah haben in einem Proof-of-Concept außerdem ein Rootkit entwickelt, das sich aufgrund von Sicherheitslücken in BIOS-Versionen v einiger weltweiter Hersteller von Notebooks installieren lässt. Die Arbeit „How many million BIOSes would you like to infect?“ demonstriert, wie bereits über Browser-Attacken unter Umständen ein unsicheres BIOS manipuliert werden kann. Das so installierte Rootkit „Lighteater“ hat dann unbegrenzten Zugriff auf den Speicher des Gerätes und könnte selbst private Krypto-Schlüssel auslesen.

Share Button