Virtualisierungs-Rootkit veröffentlicht

Bluepill verschiebt Windows in virtuelle Maschine. Joanna Rutkowska hat ihr schon vor einem Jahr auf der Black-Hat-Konferenz vorgestelltes Virtualisierungs-Rootkit "Bluepill" veröffentlicht. Dieses verschiebt eine Windows-Installation in eine virtuelle Maschine, in der der Anwender dann arbeitet - ohne dies zu merken.

2. August 2007 um 17:49 Uhr / Julius Stiebert

35 Kommentare News folgen (öffnet im neuen Fenster)

Ein ähnliches Konzept stellten Forscher bereits Anfang 2006 vor, Rutkowska zeigte Bluepill dann anlässlich der Black-Hat-Konferenz und veröffentlichte nun eine überarbeitete Version.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

Mitarbeiter / Mitarbeiterin (w/m/d) im Bereich der betrieblichen IT-Sicherheitsüberwachung Bundesnachrichtendienst, Berlin (öffnet im neuen Fenster)

Techniker*in Elektronik, Elektro- oder Informationstechnik (m/w/d) Blickle & Scherer Kommunikationstechnik GmbH & Co KG, Stockach (öffnet im neuen Fenster)

Entwicklungsingenieur Automatisierungstechnik (m/w/d) WEBER GmbH, Worms (öffnet im neuen Fenster)

ERP-Consultant (m/w/d) Martin Hartl Elektro-Fachgroßhandel GmbH, Freising (öffnet im neuen Fenster)

ERP-Administrator (m/w/d) Martin Hartl Elektro-Fachgroßhandel GmbH, Freising (öffnet im neuen Fenster)

First Level Support - IT-Support Specialist (m/w/d) Martin Hartl Elektro-Fachgroßhandel GmbH, Freising (öffnet im neuen Fenster)

Das Rootkit soll eine Windows-Installation unbemerkt in eine virtuelle Maschine verschieben, in der der Anwender dann weiterarbeitet. Die neue Version nutzt AMD-V/SVM um Windows zu virtualisieren, kann aber noch nicht Intels VT-x verwenden. Auch verschachtelte Hypervisor unterstützt das System, um sich so weiter zu verstecken.

Windows wird im laufenden Betrieb verschoben, ein Neustart ist so nicht nötig. Durch die Manipulation der Timestamp-Abfrage soll sich Blue Pill außerdem weiter verstecken. Als mögliches Indiz für das vorhandene Rootkit kann allerdings gelten, das Virtual PC 2007 innerhalb von Blue Pill abstürzt - auch die Timestampt-Manipluation soll noch recht einfach sein.

Blue Pill steht zum Download(öffnet im neuen Fenster) bereit, muss jedoch selbst kompiliert werden.

Zur Startseite 35 Kommentare

Rootkit auf Basis virtueller Maschinen entwickelt

Proof-of-Concept für Windows und Linux vorgestellt. Forscher der University of Michigan haben eine Möglichkeit entwickelt, virtuelle Maschinen als Rootkits zu missbrauchen. Im Rahmen ihrer Forschung an Sicherheitsdiensten auf Basis von virtuellen Maschinen entstand SubVirt. Dieses Rootkit verfrachtet ein laufendes Betriebssystem kurzerhand in eine virtuelle Maschine und lässt sich so nicht mehr auffinden.

Relevante Themen