94510

Hardware-basiertes Rootkit mit Intel-Prozessoren

18.10.2006 | 16:11 Uhr |

Ein Malware-Forscher demonstriert, wie auch mit der Virtualisierungstechnik neuerer Intel-Prozessoren ein laufendes Betriebssystem in eine virtuelle Machine transferiert und kontrolliert werden kann.

Dino Dai Zovi von Matasano Security will in dieser Woche auf der "Blue Hat" Sicherheitskonferenz, zu der Microsoft zweimal im Jahr einlädt, ein Rootkit demonstrieren, das sich Intels Virtualisierungstechnik VT bedient. Das " Vitriol " getaufte Konzept installiert einen so genannten Hypervisor, der zur Kontrolle virtueller Machinen (VM) dient und verschiebt ein laufendes Betriebssystem, etwa Windows Vista, in eine solche VM.

Intels Virtualisierungstechnik findet sich bereits in auf dem Markt erhältlichen Prozessoren wie den Core Solo und Core Duo CPUs. Zovi hatte seine Methode bereits im Sommer auf der Black Hat Konferenz in Las Vegas vorgestellt, wo auch Joanna Rutkowska ihre "Blue Pill" demonstrierte ( wir berichteten ), ein ähnliches Konzept, das auf der Virtualisierungstechnik "Pacifica" neuerer AMD-Prozessoren aufsetzt.

Mit Rootkits wie "Blue Pill" oder "Vitriol" können jegliche Schutzmaßnahmen eines Betriebssystems ausgehebelt werden, ohne dass Schwachstellen im System gefunden und ausgenutzt werden müssen. Der Hypervisor kann mehrere VMs starten, eine davon enthält das anzugreifende System, eine andere kann dieses mit Hilfe des Hypervisors kontrollieren. Zuverlässige Methoden zur Entdeckung solcher Rootkits aus der VM heraus sind bislang noch nicht entwickelt worden, einige Fachleute halten dies - im Gegensatz zu Joanna Rutkowska - jedoch für möglich.

0 Kommentare zu diesem Artikel
94510