Abo
  • Services:
Anzeige

Rootkit auf Basis virtueller Maschinen entwickelt

Proof-of-Concept für Windows und Linux vorgestellt

Forscher der University of Michigan haben eine Möglichkeit entwickelt, virtuelle Maschinen als Rootkits zu missbrauchen. Im Rahmen ihrer Forschung an Sicherheitsdiensten auf Basis von virtuellen Maschinen entstand SubVirt. Dieses Rootkit verfrachtet ein laufendes Betriebssystem kurzerhand in eine virtuelle Maschine und lässt sich so nicht mehr auffinden.

Die Arbeit der Arbeitsgruppe an der University of Michigan wird unter anderem von Intel und Microsoft unterstützt. Das nun von Wissenschaftlern und Microsoft-Mitarbeitern entwickelte Rootkit soll auf dem IEEE Symposium on Security and Privacy im Mai 2006 präsentiert werden. Die Beschreibung wurde jedoch bereits als PDF-Dokument veröffentlicht.

Anzeige

Als Namen für die neue Rootkit-Art wurde "Virtual-Machine Based Rootkit" (VMBR) ausgewählt. SubVirt installiert dabei einen Hypervisor unterhalb eines existierenden Betriebssystems und schaltet sich so zwischen Hardware und das Zielsystem. Das Zielsystem wird in eine virtuelle Maschine verschoben, in der der Nutzer unbemerkt weiterarbeitet. Zudem bringt das Rootkit ein eigenes Hostsystem mit, in dem beliebige Dienste ausgeführt werden können. Da dieses isoliert ist, kann der Nutzer nicht mehr darauf zugreifen und das Rootkit auch mit forensischen Werkzeugen nicht finden.

Entwickelt wurden je ein Proof-of-Concept-Rootkit, das Windows XP und Linux untergräbt. Als Grundlage wurden Virtual PC unter Windows und VMware unter Linux verwendet. Zusammen mit Virtual PC kommt eine minimale Windows-XP-Version zum Einsatz, mit VMware wurde Gentoo Linux benutzt.

Für die Installation des Rootkits sind Administratorrechte erforderlich. Nach erfolgter Installation manipuliert das Rootkit die Boot-Sequenz, so dass fortan das neue Hostsystem mit der virtuellen Maschine gestartet wird, in der der Nutzer dann arbeitet. Durch neue Kernelmodule werden bestimmte Systemaufrufe des Zielsystems abgefangen und im Hostsystem verarbeitet.

Da die VMBRs schwer zu installieren sind und einen Neustart erfordern, haben sie deutliche Nachteile gegenüber klassischen Rootkits. Allerdings bieten sie dem Angreifer auch eine größere Kontrolle über das kompromittierte System. Die Forscher schätzen VMBRs daher als realistische Gefahr ein, gerade da Hypervisor als Open Source erhältlich sind und man so nicht auf kommerzielle Lösungen wie Virtual PC oder VMware zurückgreifen muss. Tatsächlich habe einer der Autoren bei seiner Arbeit versehentlich ein mit einem VMBR infiziertes System genutzt, ohne es zu bemerken.


eye home zur Startseite
Amuesierter... 17. Mär 2006

die ganze panik hier ist eigendlich nur ein sturm im wasserglas & viel wind um nichts 1...

junger-pro 15. Mär 2006

Also rootkit und DRM mit geöffneten Ports gleichzusetzen ist was gewagt :). Erstens...

jsteidl 14. Mär 2006

Nein, Wissen bedeutet auch Verantwortung. Aber man kann an diesen Stellen nich so...

Mephisto 14. Mär 2006

Guten Morgen Nein, Virtualisierung ist noch viel aufwendiger. Volle Virtualisierung ist...

Anti-Windows 13. Mär 2006

Geil. Ich bin schon seit über 2 Jahren vom Droge Windows clean!!!! (Keine...



Anzeige

Stellenmarkt
  1. Interhyp Gruppe, München
  2. Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
  3. Automotive Safety Technologies GmbH, Weissach
  4. über Hays AG, Berlin


Anzeige
Spiele-Angebote
  1. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
  2. (-75%) 9,99€
  3. (-72%) 5,55€

Folgen Sie uns
       


  1. LAA

    Nokia und T-Mobile erreichen 1,3 GBit/s mit LTE

  2. Alcatel 1X

    Android-Go-Smartphone mit 2:1-Display kommt für 100 Euro

  3. Apple

    Ladestation Airpower soll im März 2018 auf den Markt kommen

  4. Radeon Software Adrenalin 18.2.3

    AMD-Treiber macht Sea of Thieves schneller

  5. Lifebook U938

    Das fast perfekte Business-Ultrabook bekommt vier Kerne

  6. Wochenrückblick

    Früher war nicht alles besser

  7. Raumfahrt

    Falsch abgebogen wegen Eingabefehler

  8. Cloud

    AWS bringt den Appstore für Serverless-Software

  9. Free-to-Play-Strategie

    Total War Arena beginnt den Betabetrieb

  10. Funkchip

    US-Grenzbeamte können Pass-Signaturen nicht prüfen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Homepod im Test: Smarter Lautsprecher für den Apple-affinen Popfan
Homepod im Test
Smarter Lautsprecher für den Apple-affinen Popfan
  1. Rückstände Homepod macht weiße Ringe auf Holzmöbeln
  2. Smarter Lautsprecher Homepod schwer reparierbar
  3. Smarter Lautsprecher Homepod-Reparaturen kosten fast so viel wie ein neues Gerät

Indiegames-Rundschau: Tiefseemonster, Cyberpunks und ein Kelte
Indiegames-Rundschau
Tiefseemonster, Cyberpunks und ein Kelte
  1. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass
  2. Games 2017 Die besten Indiespiele des Jahres

HP Omen X VR im Test: VR auf dem Rücken kann nur teils entzücken
HP Omen X VR im Test
VR auf dem Rücken kann nur teils entzücken
  1. 3D Rudder Blackhawk Mehr Frags mit Fußschlaufen
  2. Kreativ-Apps für VR-Headsets Austoben im VR-Atelier
  3. Apps und Games für VR-Headsets Der virtuelle Blade Runner und Sport mit Sparc

  1. Re: Das sagt eine Schlange auch

    bombinho | 06:22

  2. Re: Wie bitte?

    Etas One | 04:35

  3. Re: Als fast Gehörloser kann ich sagen: Unnötig!

    Etas One | 04:34

  4. Re: LAA mit bereits erhältlichen Geräten

    RipClaw | 02:14

  5. Re: Android One war mal das Android Go

    DAGEGEN | 02:03


  1. 22:05

  2. 19:00

  3. 11:53

  4. 11:26

  5. 11:14

  6. 09:02

  7. 17:17

  8. 16:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel