BIOS/Firmware Rootkits entfernen?

[P220]

Hi,

Demnächst wollte ich mal einen Komplett Check/Reinigung durchlaufen lassen, also sämtliche Live-Systeme mal alles überprüfen lassen. Nur übliche Antiviren Software findet in der Regel nichts (kommt ja auch selten vor, bei entsprechenden Umgang). Allerdings gibt es ja spezielle Rootkits die sich ja sogar bis ins BIOS oder Firmware sämtlicher Hardware festsetzen. Die Erkennung oder gar Entfernung (beim BIOS verweigern die Systeme ja sogar teilweise Downgrades) ist da ja ziemlich schwer. Vor allem wenn das auch noch selbst gebastelte Geschichten sind, was ja noch seltener vor kommt - Aber: Sicher ist sicher. Nun ist die Frage wie gehe ich da vor?

Könnt ihr weitere Rootkit-Remover wie GMER empfehlen die ich von Live-Systemen aus starten kann? Gerne auch mit Heuristik, wenn da überhaupt was möglich ist auf der Ebene... (Nur da dann auch mit entsprechender Dokumention/Support.).

Danke vorab.
Gruß

 

[teufelernie]

Also je nachdem kannst du Laufzeiten haben, die VOR dem Betriebssystem agieren.
In dem Fall hilft ein "sicheres" OS nur bedingt.

Je nach vorhandener Schadsorte kannst du in ne "saubere" Umgebung booten, dann z.B. ein Biosupdate,etc machen.
Teilweise hat der Schadcode aber ne Routine drin, die eine Restartfunktion z.B. von einem Biosupdate erwartet und sich dann direkt neu schreibt. Da hilft dann nur der Resetknopf im richtigen Moment.
In der Hoffnung das Bios dabei nicht zu schrotten

 

[Deater]

Tdsskiller aber inwiefern das noch gepflegt wird keine Ahnung.

Mit Flashback an Boards sollte das aber keine Rolle spielen, da werden auch Flashspeicher wieder überschrieben mit fehlerhaften Bios Versionen die durch fehlgeschlagene Updates zustande kamen.

 

[Tramizu]

Probiere mal "Malewarebytes". Das sucht auch nach Rootkits.

 

[Sebbi]

bei einen Rootkit im Bios / Firmware kannst die Chip komplett neu beschreiben .... dann kannste eher ein neue HW kaufen

@Tramizu

je nachdem wie sich verhalten, wenn die das OS in eine VM dersetzen nützt das auch nix

 

[chrigu]

Hast du einen konkreten Verdacht, dass du Zeit für ein intensiven malwarescan investieren willst?
ein bios downgrade ist nicht empfehlenswert und sollte ganz vermieden werden, was meistens auch hardwaremässig unmöglich ist.

 

[DJServs]

Es ist gut wenn Du Dir um Sicherheit Gedanken machst. Bedenke aber dass man nie mit 100%iger Sicherheit nachweisen kann ob ein System infiziert ist, lediglich das Gegenteil kann unter Umständen nachgewisen werden.
Solange sich alles normal verhält und Du Deine Software immer aus vertrauenswürdigen Quellen installierst gibt es aber keinen großen Anlass zur Sorge!

 

[P220]

Und schon haben wir es:
https://www.computerbase.de/news/internet/cable-haunt-sicherheitsluecke.70518/

 

[chrigu]

Genau... wie du siehst ist jede Vorkehrung die du vorhast reine Zeitverschwendung. Sag ich doch schon lange

 

[I'm unknown]

.

 

[P220]

forensische Untersuchung (z.B. durch Hacker)

Und in diese ominösen "Hacker" schauen in die Glaskugel oder wie?
Die genaue Methodik des Vorgehens war die Frage des Threads.
Das haben bisher auch (fast) alle verstanden.

Zugriff auf das System des Routers (oder gar des eigenen Rechners) ist weniger das Problem, wie du vom anderen Thread her eigentlich sogar wissen müsstest. Nur kann ich schlecht den Chip ablöten um da unabhängig dran zu kommen und SMM bringt mir bei ARM auch recht wenig.

 

[I'm unknown]

.

 

[P220]

ARM heißt der halt anders

Nein, es heißt nicht nur anders, es sind auch grundlegend andere Techniken, eben für ARM. Irgendwelche pauschalen Angaben von Halbwissen raus gezogen zu Posten (mit Verweis: "Schau doch einfach nach, lese dir was durch, Google es") bringt mich und alle die sich dafür interessieren, nicht wirklich weiter...

Aber darum geht es dir wohl auch nicht.