Der subversive SubVirt

Die IT-Security-Gemeinschaft ist in einer Art Aufruhr – viele Diskussionen drehen sich um ein angeblich unentdeckbares Rootkit, das Virtual-Machine-Technologie nutzt. Die wirklich Frage ist aber, worum dreht sich das ganze Geschrei und müssen wir uns wirklich Sorgen machen?

Das Rootkit, das eine Ebene unter dem Betriebssystem arbeitet, wurde an der University of Michigan in einem von Microsoft unterstützen Projekt entwickelt. Es wurde öffentlich bekannt, nachdem Konferenz-Material des IEEE Symposium on Security and Privacy veröffentlicht wurde – hier war auch der Proof-Of-Concept enthalten.

Der wichtigste Punkt ist, dass Schadcode außerhalb der Grenzen des Betriebssystems eingesetzt werden kann. Dafür erstellt das Rootkit eine weitere Ebene (einen Virtual Machine Monitor – VMM) zwischen dem Betriebsystem und der Hardware. Ist die VMM installiert und der Rechner bootet, geht die Kontrolle vom BIOS auf die VMM über – die normale Lade-Sequenz des eigentlichen Betriebsystems wird übergangen. Ist das erledigt, läuft die komplette Arbeit des Users über die VMM.

Gleichzeitig mit dem Betriebssystem des Anwenders startet die VMM ein weiteres Betriebssystem, auf dem der Schadcode ausgeführt wird. Das Schadprogramm hat daher direkten Zugriff auf die Hardware. Ein Keylogger innerhalb des infizierten Betriebssystems kann Daten speichern, während ein Trojaner-Proxy die Verbindung mit einem Netzwerk aufbaut. All das unbemerkt vom Anwender, da die Malware außerhalb des eigentlichen Betriebssystems arbeitet. Folglich ist sie auch nicht aus dem eigentlichen Betriebssystem erkennbar, selbst mit den besten Antiviren- und Firewall-Programmen.

Die Antiviren-Industrie fördert das Schreiben von Viren nicht. Doch obwohl der Proof-Of-Concept gefährlich ist, könnte die Gefahr überbewertet werden.

Denn zum einen ist das Schreiben eines solchen Rootkits sehr kompliziert und die Mehrheit der Virenautoren wäre dazu gar nicht in der Lage – obwohl es eine fertige VMM-Engine nutzt.

Zum anderen ist es unmöglich, die zusätzliche Ebene zwischen Hardware und Betriebssystem zu verstecken, denn diese Ebene beeinflusst die Funktionen des Opfer-Rechners und die Werte einiger System-Variablen. Mit anderen Worten: Da sich das Rootkit so große Mühe gibt, sich zu verstecken, kann es entdeckt werden!

Zudem sind virtuelle Rootkits durch die übliche Prüfung recht einfach zu finden. Der Anwender kann typische Symptome einer Infektion schnell entdeckten, etwa verringerte System-Ressourcen oder träge Performance. Die Entdeckung dieses Rootkits ist sogar mit sehr einfachen Methoden möglich: Der entsprechende Rechner wird einfach über ein externes Medium – etwa einen USB-Stick oder eine CD – gebootet, von dem aus die Festplatte gescannt werden kann.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.