Rootkit na síťové kartě

16. 12. 2010

Sdílet

Bezpečnostní výzkumníci dokázali, že rootkit otevírající do počítače zadní vrátka se může schovávat i na síťové kartě.

Guillaume Delugré, který se ve francouzské bezpečnostní firmě Sogeti Esec zabývá reverzním inženýrstvím, vyvinul ve formě proof-of-concept kód, který dokáže infikovat ethernetovou kartu Broadcom Ethernet NetExtreme PCI. Pro analýzu firmwaru karty použil Delugré veřejně dostupnou dokumentaci a open source nástroje. Pomocí reverzního inženýrství získal zdrojový kód firmwaru a s jeho znalostí a po studiu toho, jak se kód zavádí do paměti, pak vyvinul vlastní kód, který dokázal kartu infikovat a spustit se na jejím procesoru.

Takový malware by byl prakticky nezjistitelný na úrovni operačního systému a neviditelný pro bezpečnostní aplikace. Síťová karta má přímý přístup do operační paměti bez účasti procesoru počítače (DMA, direct memory access, podrobnosti o technologii viz česká Wikipedia), což má šetřit jeho výkon. S rootkitem na síťové kartě by útočník údajně mohl komunikovat i vzdáleně.

Výsledky byly prezentovány na konferenci Hack.lu. 

Zdroj: The Register