Viren oder andere Malware durch (gebrauchte) Hardware

[kommat]

Ein Hallo in die Runde,

die meisten Gefahren in Sachen Viren/Malware/etc.... kommen ja aktuell über das Internet, aber wie sieht es mit Hardware aus, wie groß ist da die Gefahr, dass z.B. beim Kauf von gebrauchter Hardware unbemerkt oder auch durch absichtliche Manipulation Malware weitergegeben wird?

Offensichtlich wäre es ja bei (Dauer-)Speicherkomponenten wie Festplatten, SSD-Laufwerken oder USB-Sticks, aber wie sieht es bei RAM-Modulen, Mainboards, CPUs, CD-/DVD-/BD-Laufwerken oder USB-Kabeln aus?

Weil es sind ja z.B. schon USB-Kabel und USB-Ladegeräte auf dem Markt aufgetaucht, die Speicherchips enthalten haben und beim Anschluss ans Smartphone heimlich und unbemerkt dann ein manipuliertes Android instaliert haben.

Falls sich also Malware/etc... in Hardware-Komponenten befinden würde, kann man diese mit den handelsüblichen Virenscannern/Anti-Malware-Programmen finden und entfernen/unschädlich machen, oder braucht man da professionelle Hilfe/Lösungen?

Gruß,
kommat

 

[madmax2010]

Dank Thunderbolt Genuegen schon Kabel und display adapter um systeme zu uebernehmen. Ein recht altes Beispiel hierfuer ist Thunderstrike: https://trmm.net/Thunderstrike
Bei so etwas helfen virenscanner nicht. Koennen sie auch garnicht. Wenn dir jemand neue Firmware aufs mainboard flasht bekommen sie davon absolut nichts mit.

 

[ghecko]

RAM-Modulen, Mainboards, CPUs, CD-/DVD-/BD-Laufwerken oder USB-Kabeln aus?

USB-Kabeln? Dein Ernst?
Bei RAM, Mainboard und optischen Datenträgern könnte man mit einer kompromittierten Firmware argumentieren, aber das ist ein enormer Aufwand und Beispiele dafür sind selten. Insbesondere Transferierungen von Schadsoftware durch Geräte mit Kompromittierter Firmware...
Nichts worüber man sich als Consumer mit gebräuchlicher Gebrauchthardware Gedanken machen müsste.

USB-Sticks, Festplatten oder jegliche sonstige Form von nichtflüchtigen Speicher können aber zweifellos Schadsoftware enthalten. Darum am besten die Datenträger erst mit einem Live-Betriebssystem formatieren, dann kann man sie bedenkenlos nutzen.

Das Beispiel von @madmax2010 ist natürlich eine Kuriosität die sich aus der Konzeption dieser Verbindung ergibt, aber das ist Thunderbolt-Spezifisch. Andere Kabel sind einfach nur ein paar Litzen Kupfer in einer spezifischen Anordnung mit Stecker, da ist keinerlei Information drin enthalten die deinen PC auf Softwareebene schaden könnte.

 

[Helge01]

USB-Kabeln? Dein Ernst?

Na dann verkaufe ich dir dieses USB-Kabel , oder löte dieses an einer Maus oder Tastatur als Anschlusskabel an .

 

[BeBur]

beim Kauf von gebrauchter Hardware

Ich wüsste Grad nicht ob Neuware nicht ähnlich gefährlich ist. Fertig mit Malware produzieren ist vermutlich ökonomischer als nachträglich drauf löten. Bei CPU und RAM würde ich vermuten dass ist alles so spezialisiert dass wenn dann nur China und USA selbst da Rum fummeln können ohne dass es auffällt. Und dann machen sie eigentlich nur punktuell, nicht für Hardware die dann an privat Personen ausgeliefert wird.

 

[madmax2010]

USB-Kabeln? Dein Ernst?

Leider nicht mehr unmoeglich, seitdem imer oefter in den steckern chips mit eigener Firmware verbaut sind. DMA an externen schnitstelle ist auch etwas, was einfach mal haette fort bleiben koennen

 

[1lluminate23]

Also das ist schon etwas paranoid gedacht, wenn du davon ausgehst, das bei gebrauchter Hardware jemand Malware integriert hat. USB-Sticks und Festplatten würde ich nicht gebraucht kaufen, aber aus anderen Gründen, ich würde sie auch nicht verkaufen, sondern lieber zerstören. Aber eine gebrauchte CPU, Grafikkarte oder Mainboard wird sicherlich von keinem "Privatmann" mit Malware absichtlich manipuliert. Zum einen wird das Wissen fehlen und zweitens, zu welchem Zweck?

Wenn, dann ist die Hardware schon vom Hersteller manipuliert.

 

[cloudman]

Dafür gibt es keine Tools.
Ein Virenscanner hat es da relativ leicht weil er die Binaries überprüfen kann.
Wenn du eine Netzwerk Karte hast die zusätzlich eine kleine cpu enthält und Daten irgendwo hin schickt wird es schwierig weil dein OS es gar nicht bemerken kann. Du müsstest dann über Netzwerk traces versuchen herauszufinden ob da Verbindungen ausgebaut werden.

Über ist USB extrem leicht dir einen Keylogger unter zu jubeln. Wenn das Teil einfach gehalten ist sieht du unter Windows vielleicht noch eine zusätzliche Tastatur aber auch das lässt sich umgehen. Ein Arduino und ein paar Zeilen Code reichen dafür. (es wird einfach eine Tastatur simuliert)


Letztendlich müsste man die Hardware auseinander nehmen und genügend know how haben um beurteilen zu können ob etwas nicht so ist wie es sein sollte.

Die Frage ist warum sollte jemand soetwas machen - nun gut irgendwelche Idioten die es lustig finden.

Die 3 Buchstaben Behörden würden sowas vermutlich zielgerichtet einsetzen und nicht darauf warten, dass jemand ihr manipuliertes Device auf Ebay kauft. Wissen kannst du es aber nicht.

Dieses Risiko hast Du übrigens auch bei Neugeräten.


Ist zwar Marketing aber F Secure beschreibt hier dieses Thema : https://www.pr-web.com/2020/07/15/hunting-for-backdoors-in-counterfeit-cisco-devices/

 

[chrigu]

Wie sollte Hardware-Trojaner mit Software-virenjäger bekämpfen werden? Erkennen ja, bekämpfen nein.

und übrigens.... es kann auch neuware manipuliert werden, nicht nur gebrauchtes.

 

[kommat]

USB-Kabeln? Dein Ernst?

Das Beispiel von @madmax2010 ist natürlich eine Kuriosität die sich aus der Konzeption dieser Verbindung ergibt, aber das ist Thunderbolt-Spezifisch. Andere Kabel sind einfach nur ein paar Litzen Kupfer in einer spezifischen Anordnung mit Stecker, da ist keinerlei Information drin enthalten die deinen PC auf Softwareebene schaden könnte.

Auch USB-Kabel haben Stecker, und wenn man sieht, wie klein Micro-SDXC-Karten sind mit gleichzeitig großem Speicherplatz, dann ist es kein Problem diese Speicherelemente, die in den Karten benutzt werden, auch in die Stecker zu intergrieren, und dann arbeitet so wie ein USB-Stick.
Und das ist auch keine Phantasie, die sind schon als No-Name Ware aus China aufgetaucht, auch bei Amazon und Ebay. Und die Warden auch gerne gekauft, weil ja Markenkabel nicht ganz billig im Laden sind.

USB-Sticks, Festplatten oder jegliche sonstige Form von nichtflüchtigen Speicher können aber zweifellos Schadsoftware enthalten. Darum am besten die Datenträger erst mit einem Live-Betriebssystem formatieren, dann kann man sie bedenkenlos nutzen.

Formatieren reicht da also?
Und wie hoch ist die Gefahr, dass man sich schon vor dem Formatieren schädigt, falls da wirklich Malware drauf ist.

Fällt mir halt besonders auf sorglos da viele Leute beim Datenaustausch per USB-Stick mit dem Thema umgehen.

 

[Dr. McCoy]

Formatieren reicht da also?

Es müssen dabei zuvor alle Partitionen gelöscht worden sein.

Und wie hoch ist die Gefahr, dass man sich schon vor dem Formatieren schädigt, falls da wirklich Malware drauf ist.

Daher sollst Du ja auch von einem Live-System booten, damit dies nicht passiert. Und nicht irgendeinen gebraucht erworbenen Datenspeicher direkt ans Produktiv-Windows stöpseln!

 

[kommat]

Wie sollte Hardware-Trojaner mit Software-virenjäger bekämpfen werden? Erkennen ja, bekämpfen nein.

Klar, das Bekämpfen wird in diesem Fall sehr schwierig, aber erkennen wäre schon mal ein sehr wichtiger Schritt.

und übrigens.... es kann auch neuware manipuliert werden, nicht nur gebrauchtes.

Ja, sieht man ja bei den manipulierte USB-Kabeln und -Ladegeräten.

 

[Dr. McCoy]

aber wie sieht es mit Hardware aus, wie groß ist da die Gefahr, dass z.B. beim Kauf von gebrauchter Hardware unbemerkt oder auch durch absichtliche Manipulation Malware weitergegeben wird?

Vergiss dabei gebrauchte Router & Co nicht. Gerade Gebrauchtware ist da oft mit veralteter, teils nie aktualisierter Firmware versehen, oder es gibt schon gar keine Aktualisierungen mehr. Außerdem weißt Du nicht, wie gut die Netzwerkhardware vom Vorbesitzer im laufenden Betrieb durch passende Konfiguration abgesichert war. Malware, die diesbezüglich aktiv ist, gibt es schon seit Jahren:

-> https://www.heise.de/security/meldung/Trojaner-konfiguriert-Router-um-214097.html
-> https://www.microsoft.com/de-de/tec...-aendert-dns-server-im-heimischen-router.aspx

 

[kommat]

Daher sollst Du ja auch von einem Live-System booten, damit dies nicht passiert. Und nicht irgendeinen gebraucht erworbenen Datenspeicher direkt ans Produktiv-Windows stöpseln!

natürlich würde ich den Datenspeicher nicht gleich ans Produktiv-System anschließen, könnte aber nicht auch das Live-System geschädigt werden?

Es müssen dabei zuvor alle Partitionen gelöscht worden sein.

Reicht da auch, wenn ich von einer Windows-DVD starte und damit die Partitionen Lösche und Formatiere?

 

[cloudman]

Erkennen ist schon schwierig erklär mir mal wie eine Software erkennen soll ob es ok ist wenn du einen USB Stick einsteckst und gleichzeitig damit noch eine neue Tastatur angemeldet wird?
Woher sollte ein Tool wissen ob es ok ist wenn sich zusätzlich ein keyboard meldet?
Wer sich auf diesem Level schützen will muss viel Aufwand treiben und Komforteinbusen hinnehmen.

Solange du nichts von der Platte startest passiert auch nichts (autorun ist zum glück nicht mehr default).

Von der Windows DVD/Stick starten und die Partitionen löschen reicht schon dabei kann nichts passieren.

.... Ausser jemand hat den Festplatten Controller manipuliert 😂

 

[kommat]

Also das ist schon etwas paranoid gedacht, wenn du davon ausgehst, das bei gebrauchter Hardware jemand Malware integriert hat.

Aber eine gebrauchte CPU, Grafikkarte oder Mainboard wird sicherlich von keinem "Privatmann" mit Malware absichtlich manipuliert. Zum einen wird das Wissen fehlen und zweitens, zu welchem Zweck?

Es geht ja nicht nur darum, dass der Vorbesitzer dies mit Absicht gemacht hat (wobei bei Absicht da eher etwas bei der Herstellung schon ablaufen würde), sondern das sich der Vorbesitzer unbemerkt während der Nutzung etwas eingefangen hat und dies dann beim Verkauf unwissentlich weitergibt.

 

[Dr. McCoy]

könnte aber nicht auch das Live-System geschädigt werden?

Nun, das Live-System wird ja nur in den RAM geladen und läuft anschließend von dort aus -- bis zum nächsten Neustart. Es wäre also lediglich möglich, dass über das im RAM liegende Live-System unter Ausnutzung von Sicherheitslücken Malware z.B. auf andere angeschlossene Datenträger geschrieben wird. Das ist allerdings sehr unwahrscheinlich, zumal der Datenträger ja nur angestöpselt, aber nicht via Autorun oder Ähnlichem geöffnet wird. (Hinweis: Sowas wie das hier ist natürlich weiterhin möglich).

Was die Live-Systeme betrifft, kann man auf eine möglichst sichere Lösung gehen, bei der keines der angestöpselten Datenspeicher automatisch gemountet (eingebunden) wird:
-> https://www.caine-live.net/

Reicht da auch, wenn ich von einer Windows-DVD starte und damit die Partitionen Lösche und Formatiere?

Ja, das geht auch. Ist ja vom Prinzip her auch sowas wie ein "Live-System", bei dieser Verwendung.
Alle(!) bestehenden Partitionen löschen -> neue anlegen -> neu angelegte formatieren.

 

[kommat]

Erkennen ist schon schwierig erklär mir mal wie eine Software erkennen soll ob es ok ist wenn du einen USB Stick einsteckst und gleichzeitig damit noch eine neue Tastatur angemeldet wird?
Woher sollte ein Tool wissen ob es ok ist wenn sich zusätzlich ein keyboard meldet?
Wer sich auf diesem Level schützen will muss viel Aufwand treiben und Komforteinbusen hinnehmen.

Aber bei sowas gibt es doch auch evtl. Muster, die die durch Anti-Malware-Programme erkannt werden können wie z.B. Port-Zugriffe.

Und dann müssen ja auch noch die abgegriffenen Daten zum Verursacher kommen, auch das könnte man entdecken, oder?

 

[cloudman]

Mal angenommen du hast ein 'böses' USB Gerät installiert der sich dem OS gegenüber wie eine Tastatur verhält und dieses Teil simuliert einfach Tastatureingaben dann läuft auf dem OS kein Prozess den ein tool erkennen kann. Wenn dieses Teil dann Daten übertragen will öffnet es den Browsers oder eine Shell und sendet die Daten über einen HTTPS request. Wo soll Anti malware software da ansetzen?
Woher soll eine Software wissen das es nicht du bist der da gerade tippt?

Klar mit extrem viel Aufwand findet man so etwas vielleicht aber sicher nicht mit Defender, Kaspersky und Co. Das findest du nur wenn du eh schon einen Verdacht hast und selbst dann ist es schwierig

 

[kommat]

Erstmal nochmal ein Dank für die Antworten.

Es läßt sich also zusammenfassen, eine Übertragung von Malware usw.... ist über Hardware abgesehen von Komponenten mit Dauerspeicher (HDD, SSD, USB-Sticks, Speicherkarten etc....) und Netzwerkkomponenten eher unwahrscheinlich, aber nicht unmöglich, und wenn es doch vorkommt, dann ist das Finden und Bekämpfen mit den handelsüblichen Methoden schwer bis unmöglich.

Und bei den Dauerspeicherkomponenten reicht ein Löschen der Partitionen und auf keinen Fall davor von diesem Datenträger Booten.