Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Rootkit auf Basis virtueller Maschinen entwickelt

Proof-of-Concept für Windows und Linux vorgestellt. Forscher der University of Michigan haben eine Möglichkeit entwickelt, virtuelle Maschinen als Rootkits zu missbrauchen. Im Rahmen ihrer Forschung an Sicherheitsdiensten auf Basis von virtuellen Maschinen entstand SubVirt. Dieses Rootkit verfrachtet ein laufendes Betriebssystem kurzerhand in eine virtuelle Maschine und lässt sich so nicht mehr auffinden.
/ Julius Stiebert
65 Kommentare News folgen (öffnet im neuen Fenster)

Die Arbeit der Arbeitsgruppe an der University of Michigan wird unter anderem von Intel und Microsoft unterstützt. Das nun von Wissenschaftlern und Microsoft-Mitarbeitern entwickelte Rootkit soll auf dem IEEE Symposium on Security and Privacy(öffnet im neuen Fenster) im Mai 2006 präsentiert werden. Die Beschreibung wurde jedoch bereits als PDF-Dokument(öffnet im neuen Fenster) veröffentlicht.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)
Kaufmännischer Mitarbeiter (m/w/d) IT-Bereich SEEHAFEN KIEL GmbH & Co. KG, Kiel (öffnet im neuen Fenster)
Data Management Specialists (m/w/d) mit Schwerpunkt Finanzmarktdaten Deutsche Bundesbank, Frankfurt am Main (öffnet im neuen Fenster)
Architect SAP Administration (m/w/d) bis zu 100 % remote ALBA Management GmbH, Berlin (öffnet im neuen Fenster)
IT-Produktionsplaner (m/w/d)* Batch-Betrieb Hallesche Krankenversicherung a. G., Stuttgart (öffnet im neuen Fenster)
(Senior) Observability Engineer / Distributed Cloud - STACKIT (m/w/d) STACKIT, Heilbronn (öffnet im neuen Fenster)
Gymnasialleiter*in Phorms Education SE, Steinbach (Taunus) (öffnet im neuen Fenster)
IT-Infrastrukturbetreuer (w/m/d) IT-Support - First & Second Level Sparkasse Hanau, Hanau (öffnet im neuen Fenster)

Als Namen für die neue Rootkit-Art wurde "Virtual-Machine Based Rootkit" (VMBR) ausgewählt. SubVirt installiert dabei einen Hypervisor unterhalb eines existierenden Betriebssystems und schaltet sich so zwischen Hardware und das Zielsystem. Das Zielsystem wird in eine virtuelle Maschine verschoben, in der der Nutzer unbemerkt weiterarbeitet. Zudem bringt das Rootkit ein eigenes Hostsystem mit, in dem beliebige Dienste ausgeführt werden können. Da dieses isoliert ist, kann der Nutzer nicht mehr darauf zugreifen und das Rootkit auch mit forensischen Werkzeugen nicht finden.

Entwickelt wurden je ein Proof-of-Concept-Rootkit, das Windows XP und Linux untergräbt. Als Grundlage wurden Virtual PC unter Windows und VMware unter Linux verwendet. Zusammen mit Virtual PC kommt eine minimale Windows-XP-Version zum Einsatz, mit VMware wurde Gentoo Linux benutzt.

Für die Installation des Rootkits sind Administratorrechte erforderlich. Nach erfolgter Installation manipuliert das Rootkit die Boot-Sequenz, so dass fortan das neue Hostsystem mit der virtuellen Maschine gestartet wird, in der der Nutzer dann arbeitet. Durch neue Kernelmodule werden bestimmte Systemaufrufe des Zielsystems abgefangen und im Hostsystem verarbeitet.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Da die VMBRs schwer zu installieren sind und einen Neustart erfordern, haben sie deutliche Nachteile gegenüber klassischen Rootkits. Allerdings bieten sie dem Angreifer auch eine größere Kontrolle über das kompromittierte System. Die Forscher schätzen VMBRs daher als realistische Gefahr ein, gerade da Hypervisor als Open Source erhältlich sind und man so nicht auf kommerzielle Lösungen wie Virtual PC oder VMware zurückgreifen muss. Tatsächlich habe einer der Autoren bei seiner Arbeit versehentlich ein mit einem VMBR infiziertes System genutzt, ohne es zu bemerken.

Zur Startseite 65 Kommentare

Relevante Themen

Open SourceLinuxTechnik/HardwarePC & NotebooksSoftwareToolsBetriebssystemeSecurityWissenDatensicherheit