Skip to main content

Neues Proof-of-Concept-Tool erkennt verborgene Malware in Grafikkarten

Da Antivirus-Lösungen robuster werden und Microsoft Windows-Schwachstellen besser schließen kann, müssen Malware-Designer beim Angriff auf PCs und Server mehr Kreativität entwickeln. Eine weit offene Angriffsfläche: Hardware-Komponenten wie Grafik und Netzwerkkarten. Ja, Sie haben das richtig gelesen.

Sicherheitssoftware sucht nicht unbedingt nach Malware, die in Peripheriegeräten lauert, und öffnet damit Bad Guys die Tür, um bösartigen Code in Ihrer Killerpixel-Radeon- oder GeForce-Grafikkarte zu verstecken. Aber fürchte dich nicht! Der Berliner Forscher Patrick Stewin sagt, er habe einen Weg gefunden, diese knifflige Malware zu erkennen, ohne die CPU zu belasten, so das SC Magazine Australia.

Peripherie-basierte Malware ist besonders schwer zu erkennen, da sie sich nicht darauf verlassen muss auf eine Schwäche im Betriebssystem Ihres Computers, laut Stewin. Stattdessen nutzt es die Verarbeitungsleistung, die bereits in Peripheriegeräten wie Grafikkarten vorhanden ist, die keinen Angriff erwarten.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Grafikkarten, Soundkarten und Andere PC-Komponenten können Daten mit Direct Memory Access (DMA) verarbeiten. Anstatt auf die Datenverarbeitung über die CPU eines PCs zu warten, kann eine Grafikkarte die CPU umgehen, um grafische Daten direkt aus dem Speicher abzurufen und zu verarbeiten.

DMA hilft, einen PC schneller zu machen und entlastet die CPU. Aber es bedeutet auch, dass ein richtig entworfenes Bit von Malware durch ein Daten-knirschendes Peripheriegerät hineinkommen kann. Einmal infiziert, können DMA-Angriffe alle Arten von Schaden anrichten, wie das Kopieren von Verschlüsselungsschlüsseln oder das Installieren anderer Arten von Malware zum Identitätsdiebstahl, obwohl die Wahrscheinlichkeit, durch diese hochentwickelte Art von Malware infiziert zu werden, gering ist.

Vergleichen von Notizen

Die Lösung von Stewin - BARM genannt - befasst sich mit DMA-Angriffen, indem sie feststellt, was ein System tun soll und vergleicht dies mit dem, was der PC eigentlich macht. Stewin nahm ein Stück DMA-Malware namens DAGGER (das laut SC Magazine von Stewin und einem anderen Sicherheitsforscher erstellt wurde) und steckte es in einen PC ein. Dann verwendete Stewin BARM, um die Daten zu überwachen, die durch das Speichersystem des PC fließen. Durch Analyse, was der Computer

tun sollte, basierend darauf, was der Benutzer wollte, dann Vergleich dieser Aktivität mit den Daten, die tatsächlich durch den PC-Speicher lief, könnte Stewin nach Anomalien suchen, die Malware sein könnten.

BARM ist zu diesem Zeitpunkt nur eine Proof-of-Concept-Software. Und es ist leicht vorstellbar, dass Software wie diese Fehlalarme auslöst, wenn die Erwartungen von BARM, was Ihr PC machen soll, falsch sind. Nichtsdestoweniger besteht die Hoffnung, dass BARM eines Tages ständig einen PC auf DMA-basierte Angriffe überwachen könnte, ohne die Rechenleistung des Computers zu beeinträchtigen. Stewins Arbeit wird während des Internationalen Symposiums über Forschung in Attacken, Intrusionen und Verteidigung im Oktober.