lochkartenstanzer
17.02.2015, aktualisiert um 13:50:01 Uhr
view1768
view4
1
Goto Top

Equation-Group: "Höchstentwickelte Hacker der Welt" infizieren u.a. Festplatten-Firmware

AllgemeinSicherheitViren, Trojaner
Moin,

Wie zu erwarten war ist inzwischen auf Malware in der Festplattenfirmware aufgetaucht. Wenig überraschend, wie ich finde.

lks

http://www.heise.de/newsticker/meldung/Equation-Group-Hoechstentwickelt ...
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 263691

Url: https://administrator.de/forum/equation-group-hoechstentwickelte-hacker-der-welt-infizieren-u-a-festplatten-firmware-263691.html

Ausgedruckt am: 20.04.2025 um 18:04 Uhr

4 Kommentare
Neuester Kommentar
Goto Top
DerWoWusste
DerWoWusste 17.02.2015 aktualisiert um 14:32:14 Uhr
Goto Top
...und wieder ein gutes Beispiel dsfür, warum man Festplattenverschlüsselung nutzen sollte und diese widerrum mit TPM-Chips kombiniert, siehe http://www.irodtech.net/upgrade-ssd-firmware-bitlocker-encrypted-drive/ - das TPM würde diese Modifikation höchstwahrscheinlich bemerken und den Wiederherstellungsschlüssel anfordern - so würde es zumindest nicht unbemerkt bleiben.
C.R.S.
C.R.S. 17.02.2015 um 14:52:01 Uhr
Goto Top
Das nützt in dem Fall nichts. Der Zweck dieses Moduls ist es, für die Host-Malware exklusiven Speicher auf der Festplatte zu schaffen. Das ist möglich, ohne die durch die HDD nach außen abgebildete logische Struktur zu verändern oder eine geänderte Firmware anzuzeigen und ist damit nicht vom TPM-Sealing erfasst (also weder über Platform- bzw. Option-ROM-Konfiguration, noch IPL- und Bootloader-PCR).
(Software-)FDE ist trotzdem sinnvoll, um Patching durch die Firmware zu verhindern.
DerWoWusste
DerWoWusste 17.02.2015 um 14:59:58 Uhr
Goto Top
Moin C.R.S.

Wo kann ich das nachlesen?
C.R.S.
C.R.S. 17.02.2015 um 20:44:36 Uhr
Goto Top
Das Sample ist öffentlich verfügbar (MD5:11fb08b9126cdb4668b3f5135cf7a6c5). Dass das TPM weder die Festplattenfirmware noch die physische Struktur der Festplatte kontrolliert, ist allgemein bekannt.
AllgemeinSicherheitViren, Trojaner
Mehr von LochkartenstanzerLochkartenstanzerLöschung des Beitrages von Christian Enderle nicht notwendigLochkartenstanzer - 6 KommentareLochkartenstanzerDATEV-Einzel-Arbeitsplatz Upgrade von Windows 10 auf Windows 11 auf neuer HardwareLochkartenstanzer - 2 KommentareLochkartenstanzerDatev auf neue Hardware umziehenLochkartenstanzer - 17 KommentareLochkartenstanzerWindows 10: ipv4 kaputt, v6 gehtLochkartenstanzer - 38 Kommentare
Heiß diskutiert
MysticFoxDEWindows 11 - Unerträgliche Ressourcenverschwendung - groteske RAM ReservierungenMysticFoxDE - 56 KommentareMaba90Batch oder PS Skript startet Programm nur als Prozess ohne GUIMaba90 - 37 KommentareMysticFoxDEWindows 11 - Unerträgliche RessourcenverschwendungMysticFoxDE - 32 KommentaremirdochegalServer 2025 DC - verliert nach reboot Domänenfirewallprofil - nicht als DC erreichbarmirdochegal - 32 KommentareHappyHannesPing Spikes im HeimnetzHappyHannes - 32 KommentareYan2021NUC als NAS verwenden?Yan2021 - 28 KommentareNeurothikerMikrotik - wie ändere ich ein Interface von slave auf master?Neurothiker - 26 Kommentaremorpheus82Lancom Router DHCP Zuweisungenmorpheus82 - 21 KommentareStefanKittelCVE am Ende?StefanKittel - 20 KommentarekpunktSuche kabelloses HID-Zeugs (Mäuse und Tastaturen)kpunkt - 20 Kommentarepsimon87Serverschrank im Garten (in der "Gartenhütte")psimon87 - 16 KommentareManuManu2021Handelsregister.de nicht aufrufbarManuManu2021 - 15 Kommentaregerry56Probleme mit Internetzugang für Handy im Wlangerry56 - 14 Kommentare