Abo
  • Services:

Rootkit auf Basis virtueller Maschinen entwickelt

Proof-of-Concept für Windows und Linux vorgestellt

Forscher der University of Michigan haben eine Möglichkeit entwickelt, virtuelle Maschinen als Rootkits zu missbrauchen. Im Rahmen ihrer Forschung an Sicherheitsdiensten auf Basis von virtuellen Maschinen entstand SubVirt. Dieses Rootkit verfrachtet ein laufendes Betriebssystem kurzerhand in eine virtuelle Maschine und lässt sich so nicht mehr auffinden.

Artikel veröffentlicht am , Julius Stiebert

Die Arbeit der Arbeitsgruppe an der University of Michigan wird unter anderem von Intel und Microsoft unterstützt. Das nun von Wissenschaftlern und Microsoft-Mitarbeitern entwickelte Rootkit soll auf dem IEEE Symposium on Security and Privacy im Mai 2006 präsentiert werden. Die Beschreibung wurde jedoch bereits als PDF-Dokument veröffentlicht.

Stellenmarkt
  1. ETAS, Stuttgart
  2. Bundeskriminalamt, Wiesbaden

Als Namen für die neue Rootkit-Art wurde "Virtual-Machine Based Rootkit" (VMBR) ausgewählt. SubVirt installiert dabei einen Hypervisor unterhalb eines existierenden Betriebssystems und schaltet sich so zwischen Hardware und das Zielsystem. Das Zielsystem wird in eine virtuelle Maschine verschoben, in der der Nutzer unbemerkt weiterarbeitet. Zudem bringt das Rootkit ein eigenes Hostsystem mit, in dem beliebige Dienste ausgeführt werden können. Da dieses isoliert ist, kann der Nutzer nicht mehr darauf zugreifen und das Rootkit auch mit forensischen Werkzeugen nicht finden.

Entwickelt wurden je ein Proof-of-Concept-Rootkit, das Windows XP und Linux untergräbt. Als Grundlage wurden Virtual PC unter Windows und VMware unter Linux verwendet. Zusammen mit Virtual PC kommt eine minimale Windows-XP-Version zum Einsatz, mit VMware wurde Gentoo Linux benutzt.

Für die Installation des Rootkits sind Administratorrechte erforderlich. Nach erfolgter Installation manipuliert das Rootkit die Boot-Sequenz, so dass fortan das neue Hostsystem mit der virtuellen Maschine gestartet wird, in der der Nutzer dann arbeitet. Durch neue Kernelmodule werden bestimmte Systemaufrufe des Zielsystems abgefangen und im Hostsystem verarbeitet.

Da die VMBRs schwer zu installieren sind und einen Neustart erfordern, haben sie deutliche Nachteile gegenüber klassischen Rootkits. Allerdings bieten sie dem Angreifer auch eine größere Kontrolle über das kompromittierte System. Die Forscher schätzen VMBRs daher als realistische Gefahr ein, gerade da Hypervisor als Open Source erhältlich sind und man so nicht auf kommerzielle Lösungen wie Virtual PC oder VMware zurückgreifen muss. Tatsächlich habe einer der Autoren bei seiner Arbeit versehentlich ein mit einem VMBR infiziertes System genutzt, ohne es zu bemerken.



Anzeige
Top-Angebote
  1. 189€ (Vergleichspreis je nach Farbe ab 235€)
  2. für 849€ (Einzelpreis der Grafikkarte im Vergleich teurer als das Bundle)
  3. 93,85€ (Bestpreis!)
  4. (u. a. Madden NFL 18 und Mass Effect: Andromeda PS4/XBO für je 15€, Gran Turismo Sport für...

Amuesierter... 17. Mär 2006

die ganze panik hier ist eigendlich nur ein sturm im wasserglas & viel wind um nichts 1...

junger-pro 15. Mär 2006

Also rootkit und DRM mit geöffneten Ports gleichzusetzen ist was gewagt :). Erstens...

jsteidl 14. Mär 2006

Nein, Wissen bedeutet auch Verantwortung. Aber man kann an diesen Stellen nich so...

Mephisto 14. Mär 2006

Guten Morgen Nein, Virtualisierung ist noch viel aufwendiger. Volle Virtualisierung ist...

Anti-Windows 13. Mär 2006

Geil. Ich bin schon seit über 2 Jahren vom Droge Windows clean!!!! (Keine...


Folgen Sie uns
       


Gemini PDA - Test

Ein PDA im Jahr 2018? Im Test sind wir nicht restlos überzeugt - was vor allem an der Gerätegattung selber liegt.

Gemini PDA - Test Video aufrufen
Urheberrrecht: Etappensieg für Leistungsschutzrecht und Uploadfilter
Urheberrrecht
Etappensieg für Leistungsschutzrecht und Uploadfilter

Trotz aller Proteste: Der Rechtsausschuss des Europaparlaments votiert für ein Leistungsschutzrecht und Uploadfilter. Nun könnte das Plenum sich noch dagegenstellen.

  1. Leistungsschutzrecht Nur Einschränkungen oder auch Chancen?
  2. Vor Abstimmung 100 EU-Abgeordnete lehnen Leistungsschutzrecht ab
  3. Urheberrecht EU-Staaten für Leistungsschutzrecht und Uploadfilter

Hacker: Was ist eigentlich ein Exploit?
Hacker
Was ist eigentlich ein Exploit?

In Hollywoodfilmen haben Hacker mit Sturmmasken ein ganzes Arsenal von Zero-Day-Exploits, und auch sonst scheinen die kleinen Programme mehr und mehr als zentraler Begriff der IT-Sicherheit verstanden zu werden. Der Hacker Thomas Dullien hingegen versucht sich an einem theoretischen Modell eines Exploits.
Von Hauke Gierow

  1. IoT Foscam beseitigt Exploit-Kette in Kameras
  2. Project Capillary Google verschlüsselt Pushbenachrichtigungen Ende-zu-Ende
  3. My Heritage DNA-Dienst bestätigt Datenleck von 92 Millionen Accounts

Business-Festival: Cebit verliert 70.000 Besucher und ist hochzufrieden
Business-Festival
Cebit verliert 70.000 Besucher und ist hochzufrieden

Cebit 2018 Zur ersten neuen Cebit sind deutlich weniger Besucher als im Vorjahr gekommen. Dennoch feiern Messe AG, Bitkom und Aussteller den Relaunch der Veranstaltung als Erfolg. Die Cebit 2019 wird erneut etwas verlegt.

  1. Festival statt Technikmesse "Die neue Cebit ist ein Proof of Concept"

    •  /