DVB-Cube BETA <<< Das deutsche PC und DVB-Forum >>>

PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 19 Oktober, 2006, 09:50

Titel: Rootkit verschiebt Windows in virtuelle Maschine
Beitrag von: SiLæncer am 19 Oktober, 2006, 09:50

Auf dem Ende Oktober stattfindenden, von Microsoft initiierten Hackertreffen BlueHat soll ein weiteres Virtual Machine Rootkit vorgestellt werden, das in der Lage ist, Windows zur Laufzeit in eine virtuelle Maschine (VM) zu verschieben. Das Vitriol getaufte Rootkit nutzt dazu Intels Virtualization Technology (VT-x, ehemals Vanderpool). Anders als bei Software-Virtualisierungstechniken bieten auf Hardware beruhende Virtualisierungslösungen direkte Unterstützung durch den Prozessor.

Das in eine VM verschobene Windows oder Linux hat anschließend keinerlei Möglichkeiten mehr, das Rootkit zu erkennen, da es außerhalb seines Wahrnehmungshorizontes läuft. Virenscanner und Rootkit-Schnüffler haben so ebenfalls keine Chance mehr, das System zu schützen. Auch Vistas neue Kernelschutzfunktionen für 64-Bit-Systeme PatchGuard und Treibersignierung wären dann nutzlos. Vitriol wurde vom Sicherheitsspezialisten Dino Dai Zovi entwickelt und bereits auf der vergangenen Black-Hat-Konferenz vorgestellt (Link zu PDF-Dokument) – allerdings nicht vorgeführt. Joanna Rutkowska hingegen hatte auf der Black-Hat einen Prototyp ihres Blue Pill genannten VM-Rootkit in der Praxis gezeigt. Blue Pill nutzt AMDs Virtualisierungslösung SVM/Pacifica, um Windows während des Betriebs einen Hypervisor unterzuschieben. Auch Microsoft untersucht mit seinem Proof-of-Concept-Rootkit SubVirt die Auswirkung von VM-Rootkits.

Zur BlueHat werden nur ausgewählte Sicherheitsspezialisten eingeladen, um mit Microsoft über Schwachstellen zu diskutieren. Auf der vergangenen BlueHat waren unter anderen David Litchfield, Halvar Flake, HD Moore und Alexander Kornbrust unter den Vortragenden zu finden.

Siehe dazu auch:

    * Rootkit infiltriert Beta-Version von Windows Vista, Meldung auf heise Security
    * Microsoft demonstriert Virtualisierungs-Rootkit, Meldung auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/79676

Titel: Re: Rootkit verschiebt Windows in virtuelle Maschine
Beitrag von: Jürgen am 20 Oktober, 2006, 00:26

Betriebssysteme, die echte Hardwarezugriffe immer weiter erschweren, haben in der Tat selbst irgendwann kaum noch eine Chance, festzustellen, ob sie in einer realen oder virtuellen Umgebung laufen. Es ist ja grundsätzlich kein Problem, selbst die typischen Unregelmässigkeiten der Hardware-Timings überzeugend zu simulieren.

Möglicherweise läuft längst eine Art Wettkampf zwischen den Virtualisierern und den Verteidigern der Hardware-Realität. Auch eine trusted platform Hardware-Lösung ist gegen sowas auf Dauer nicht wirklich gefeit...

Rote oder blaue Pille  ::)