• IT-Karriere:
  • Services:

Rootkit auf Basis virtueller Maschinen entwickelt

Proof-of-Concept für Windows und Linux vorgestellt

Forscher der University of Michigan haben eine Möglichkeit entwickelt, virtuelle Maschinen als Rootkits zu missbrauchen. Im Rahmen ihrer Forschung an Sicherheitsdiensten auf Basis von virtuellen Maschinen entstand SubVirt. Dieses Rootkit verfrachtet ein laufendes Betriebssystem kurzerhand in eine virtuelle Maschine und lässt sich so nicht mehr auffinden.

Artikel veröffentlicht am , Julius Stiebert

Die Arbeit der Arbeitsgruppe an der University of Michigan wird unter anderem von Intel und Microsoft unterstützt. Das nun von Wissenschaftlern und Microsoft-Mitarbeitern entwickelte Rootkit soll auf dem IEEE Symposium on Security and Privacy im Mai 2006 präsentiert werden. Die Beschreibung wurde jedoch bereits als PDF-Dokument veröffentlicht.

Stellenmarkt
  1. PTV Group, Karlsruhe
  2. Melitta Business Service Center GmbH & Co. KG, Minden

Als Namen für die neue Rootkit-Art wurde "Virtual-Machine Based Rootkit" (VMBR) ausgewählt. SubVirt installiert dabei einen Hypervisor unterhalb eines existierenden Betriebssystems und schaltet sich so zwischen Hardware und das Zielsystem. Das Zielsystem wird in eine virtuelle Maschine verschoben, in der der Nutzer unbemerkt weiterarbeitet. Zudem bringt das Rootkit ein eigenes Hostsystem mit, in dem beliebige Dienste ausgeführt werden können. Da dieses isoliert ist, kann der Nutzer nicht mehr darauf zugreifen und das Rootkit auch mit forensischen Werkzeugen nicht finden.

Entwickelt wurden je ein Proof-of-Concept-Rootkit, das Windows XP und Linux untergräbt. Als Grundlage wurden Virtual PC unter Windows und VMware unter Linux verwendet. Zusammen mit Virtual PC kommt eine minimale Windows-XP-Version zum Einsatz, mit VMware wurde Gentoo Linux benutzt.

Für die Installation des Rootkits sind Administratorrechte erforderlich. Nach erfolgter Installation manipuliert das Rootkit die Boot-Sequenz, so dass fortan das neue Hostsystem mit der virtuellen Maschine gestartet wird, in der der Nutzer dann arbeitet. Durch neue Kernelmodule werden bestimmte Systemaufrufe des Zielsystems abgefangen und im Hostsystem verarbeitet.

Da die VMBRs schwer zu installieren sind und einen Neustart erfordern, haben sie deutliche Nachteile gegenüber klassischen Rootkits. Allerdings bieten sie dem Angreifer auch eine größere Kontrolle über das kompromittierte System. Die Forscher schätzen VMBRs daher als realistische Gefahr ein, gerade da Hypervisor als Open Source erhältlich sind und man so nicht auf kommerzielle Lösungen wie Virtual PC oder VMware zurückgreifen muss. Tatsächlich habe einer der Autoren bei seiner Arbeit versehentlich ein mit einem VMBR infiziertes System genutzt, ohne es zu bemerken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
  1. Hera
    Esa startet Projekt zur Abwehr von Asteroiden
  2. Berlin-Tag
    Berliner Bildungsmesse mag keine Apple-Nutzer
  3. Apple Pay
    EU will Apple zur Freigabe von NFC-Chip bringen
  4. CD Projekt Red
    PC-Systemanforderungen für Cyberpunk 2077 veröffentlicht
  5. Grünheide
    Tesla und Gigafactory-Kritiker treffen aufeinander
Anzeige
Top-Angebote
  1. 388,95€
  2. 242,72€ (Vergleichspreis 299€)
  3. ab 84,90€ auf Geizhals
  4. 86,51€ (Vergleichspreis 98,62€ + Lieferzeit, 103,78€ sofort verfügbar)
Kommentarübersicht
Re: Die Entwickler gehören unverzüglich erschlagen
Amuesierter... 17. Mär 2006

die ganze panik hier ist eigendlich nur ein sturm im wasserglas & viel wind um nichts 1...

Re: Vergewaltigung von Eigentum
junger-pro 15. Mär 2006

Also rootkit und DRM mit geöffneten Ports gleichzusetzen ist was gewagt :). Erstens...

Re: Langsam wird es Zeit den PC einzumotten...
jsteidl 14. Mär 2006

Nein, Wissen bedeutet auch Verantwortung. Aber man kann an diesen Stellen nich so...

Re: Panikmache - technisch leicht machbar
Mephisto 14. Mär 2006

Guten Morgen Nein, Virtualisierung ist noch viel aufwendiger. Volle Virtualisierung ist...

Re: Was Microsoft so forscht ....
Anti-Windows 13. Mär 2006

Geil. Ich bin schon seit über 2 Jahren vom Droge Windows clean!!!! (Keine...

Folgen Sie uns
       
Elektroauto
Elektrophobie: Zukunftsverweigerung oder was ich als E-Autofahrer erlebte
Elektrophobie
Zukunftsverweigerung oder was ich als E-Autofahrer erlebte

Beschimpfungen als "Öko-Idiot" oder der Mittelfinger auf der Autobahn: Als Elektroauto-Fahrer macht man einiges mit - aber nicht mit dem Auto selbst.
Ein Erfahrungsbericht von Matthias Horx

  1. Model Y Tesla befestigt Kühlaggregat mit Baumarktleisten
  2. Wohnungseigentumsgesetz Anspruch auf private Ladestelle kommt im November
  3. Autogipfel Regierung fordert einheitliches Bezahlsystem bei Ladesäulen
ARM
Prozessor: Wie arm ARM mit Nvidia dran ist
Prozessor
Wie arm ARM mit Nvidia dran ist

Von positiv bis hin zum Desaster reichen die Stimmen zum Deal: Was der Kauf von ARM durch Nvidia bedeuten könnte.
Eine Analyse von Marc Sauter

  1. Prozessoren Nvidia kauft ARM für 40 Milliarden US-Dollar
  2. Chipdesigner Nvidia bietet mehr als 40 Milliarden Dollar für ARM
  3. Softbank-Tochter Nvidia hat Interesse an ARM
Xiaomi
Poco X3 NFC im Test: Xiaomis neuer Preisbrecher überzeugt
Poco X3 NFC im Test
Xiaomis neuer Preisbrecher überzeugt

Das Poco X3 NFC ist Xiaomis jüngstes preiswertes Smartphone, die Ausstattung verspricht angesichts des Preises einiges - und hält etliches.
Ein Test von Tobias Költzsch

  1. Xiaomi Neues Poco-Smartphone mit Vierfachkamera kostet 200 Euro
  2. Smartphone Xiaomi stellt dritte Generation verdeckter Frontkameras vor
  3. Xiaomi Mi 10 Ultra kommt mit 120-Watt-Schnellladen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /