Un rootkit en la tarjeta de red

En alguna otra ocasión he comentado en el blog la existencia de malware en placas base o la posibilidad de incorporar mecanismos maliciosos durante la fabricación de un procesador. Ahora se ha dado un paso más: conseguir introducir un rootkit en una tarjeta de red. Usando documentación pública y herramientas gratuitas, "guillaume" ha sido capaz de construir un conjunto de herramientas para operar con el firmware de una tarjeta de red común, que le permiten monitorizar en tiempo real el número de operaciones de la CPU de la tarjeta, seguir los flujos de ejecución o guardar los accesos a memoria.

Además, mediante ingeniería inversa ha conseguido averiguar el formato de la EEPROM donde se guarda el código del firmware y el proceso que conduce a su ejecución. Con todo esto, ha creado un rootkit que reside en la propia tarjeta de red.

¿Qué supone esto? Pues una comunicación muy silenciosa a través del enlace Ethernet, ya que puede interceptar y falsificar "frames" sin que el sistema operativo se entere, un sistema de acceso a la memoria física a través de DMA, que puede provocar la corrupción del sistema operativo y, sobre todo, una independencia total del sistema operativo. Cuando alguien busque algo sospechoso en su sistema no encontrará nada, ya que el rootkit se encuentra oculto en la tarjeta de red...

Si la tarjeta de red permite accesos DMA de forma nativa, un atacante podría ser capaz de comunicarse con el rootkit remotamente y acceder al sistema operativo. Os dejo un enlace a la presentación de "guillaume" en la Hack.lu.

Comparte este artículo