Rootkit auf Basis virtueller Maschinen entwickelt

Proof-of-Concept für Windows und Linux vorgestellt

Forscher der University of Michigan haben eine Möglichkeit entwickelt, virtuelle Maschinen als Rootkits zu missbrauchen. Im Rahmen ihrer Forschung an Sicherheitsdiensten auf Basis von virtuellen Maschinen entstand SubVirt. Dieses Rootkit verfrachtet ein laufendes Betriebssystem kurzerhand in eine virtuelle Maschine und lässt sich so nicht mehr auffinden.

Artikel veröffentlicht am , Julius Stiebert

Die Arbeit der Arbeitsgruppe an der University of Michigan wird unter anderem von Intel und Microsoft unterstützt. Das nun von Wissenschaftlern und Microsoft-Mitarbeitern entwickelte Rootkit soll auf dem IEEE Symposium on Security and Privacy im Mai 2006 präsentiert werden. Die Beschreibung wurde jedoch bereits als PDF-Dokument veröffentlicht.

Stellenmarkt
  1. Servicemanagerin Finanzwesen (m/w/d)
    Hannoversche Informationstechnologien AöR (hannIT), Hannover (Home-Office möglich)
  2. Inhouse Berater SAP (m/w/d)
    über Hays AG, Giengen an der Brenz
Detailsuche

Als Namen für die neue Rootkit-Art wurde "Virtual-Machine Based Rootkit" (VMBR) ausgewählt. SubVirt installiert dabei einen Hypervisor unterhalb eines existierenden Betriebssystems und schaltet sich so zwischen Hardware und das Zielsystem. Das Zielsystem wird in eine virtuelle Maschine verschoben, in der der Nutzer unbemerkt weiterarbeitet. Zudem bringt das Rootkit ein eigenes Hostsystem mit, in dem beliebige Dienste ausgeführt werden können. Da dieses isoliert ist, kann der Nutzer nicht mehr darauf zugreifen und das Rootkit auch mit forensischen Werkzeugen nicht finden.

Entwickelt wurden je ein Proof-of-Concept-Rootkit, das Windows XP und Linux untergräbt. Als Grundlage wurden Virtual PC unter Windows und VMware unter Linux verwendet. Zusammen mit Virtual PC kommt eine minimale Windows-XP-Version zum Einsatz, mit VMware wurde Gentoo Linux benutzt.

Für die Installation des Rootkits sind Administratorrechte erforderlich. Nach erfolgter Installation manipuliert das Rootkit die Boot-Sequenz, so dass fortan das neue Hostsystem mit der virtuellen Maschine gestartet wird, in der der Nutzer dann arbeitet. Durch neue Kernelmodule werden bestimmte Systemaufrufe des Zielsystems abgefangen und im Hostsystem verarbeitet.

Golem Akademie
  1. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
  2. Unreal Engine 4 Grundlagen: virtueller Drei-Tage-Workshop
    28. Februar–2. März 2022, Virtuell
Weitere IT-Trainings

Da die VMBRs schwer zu installieren sind und einen Neustart erfordern, haben sie deutliche Nachteile gegenüber klassischen Rootkits. Allerdings bieten sie dem Angreifer auch eine größere Kontrolle über das kompromittierte System. Die Forscher schätzen VMBRs daher als realistische Gefahr ein, gerade da Hypervisor als Open Source erhältlich sind und man so nicht auf kommerzielle Lösungen wie Virtual PC oder VMware zurückgreifen muss. Tatsächlich habe einer der Autoren bei seiner Arbeit versehentlich ein mit einem VMBR infiziertes System genutzt, ohne es zu bemerken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Amuesierter... 17. Mär 2006

die ganze panik hier ist eigendlich nur ein sturm im wasserglas & viel wind um nichts 1...

junger-pro 15. Mär 2006

Also rootkit und DRM mit geöffneten Ports gleichzusetzen ist was gewagt :). Erstens...

jsteidl 14. Mär 2006

Nein, Wissen bedeutet auch Verantwortung. Aber man kann an diesen Stellen nich so...

Mephisto 14. Mär 2006

Guten Morgen Nein, Virtualisierung ist noch viel aufwendiger. Volle Virtualisierung ist...

Anti-Windows 13. Mär 2006

Geil. Ich bin schon seit über 2 Jahren vom Droge Windows clean!!!! (Keine...



Aktuell auf der Startseite von Golem.de
Lego Star Wars UCS AT-AT aufgebaut
"Das ist kein Mond, das ist ein Lego-Modell"

Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
Ein Praxistest von Oliver Nickel

Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
Artikel
  1. Kryptowährung im Fall: Bitcoin legt rasante Talfahrt hin
    Kryptowährung im Fall
    Bitcoin legt rasante Talfahrt hin

    Am Samstag setzte sich der Absturz des Bitcoin fort. Ein Bitcoin ist nur noch 34.200 US-Dollar wert. Auch andere Kryptowährungen machen Verluste.

  2. eStream: Airstream-Wohnwagen mit eigenem Elektroantrieb
    eStream
    Airstream-Wohnwagen mit eigenem Elektroantrieb

    Der Wohnwagen Airstream eStream besitzt einen eigenen Elektroantrieb nebst Akku. Das entlastet das Zugfahrzeug und eröffnet weitere Möglichkeiten.

  3. Andromeda: Dieses Microsoft-Smartphone-Betriebssystem erschien nie
    Andromeda
    Dieses Microsoft-Smartphone-Betriebssystem erschien nie

    Erstmals ist ein Blick auf Andromeda möglich - das Smartphone-Betriebssystem, das Microsoft bereits vor einigen Jahren eingestellt hat.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 120,95€ • Alternate (u.a. AKRacing Master Pro Deluxe 449,98€) • Seagate FireCuda 530 1 TB (PS5) 189,90€ • RTX 3070 989€ • The A500 Mini 189,90€ • Intel Core i9 3.7 459,50€ • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /