Microsoft demonstriert Virtualisierungs-Rootkit
Herkömmliche Rootkits unterwandern Betriebssysteme, eine Konzeptstudie von Microsoft und der Universität Michigan versklavt sie gleich ganz: SubVirt übernimmt nach dem Booten die Kontrolle und führt das OS in einer virtuellen Maschine aus.
Ein Team aus Wissenschaftlern der Universität von Michigan und von Microsoft Research hat zu Demonstrationszwecken ein Rootkit namens SubVirt entwickelt, das sich gewissermaßen unter das vorgefundene Betriebssystem installiert, um dieses nach einem Neustart in einer virtuellen Maschine (VM) auszuführen. Während der Anwender an seinem Gast-Betriebssystem arbeitet, führt das Rootkit von diesem unbemerkt in einer zweiten VM-Instanz seine Schadfunktionen aus. Die Besonderheit dabei ist, dass sich das Rootkit aus Sicht des virtualisierten Betriebssystems weder beenden noch deinstallieren lässt, da SubVirt selbst die VM kontrolliert, in der sich das ursprüngliche Betriebssystem befindet. Die Forscher bezeichnen ihre Technik als "virtual machine based Rootkit" (VMBR).
Ihr rund 100 Megabyte großes Windows-VMBR basiert auf der Microsoft-eigenen Software VirtualPC und ist in der Lage, sich in einem rund 250 Megabyte großen, ungenutzten Bereich der Primär-Partition abzulegen. Das Linux-VMBR der gleichen Größe benutzt stattdessen VMWare und eine zuvor deaktivierte Swap-Partition. Beim Herunterfahren des Systems modifiziert das VMBR den Bootsektor der Festplatte derart, dass statt des ursprünglichen Betriebssystems das VM-Hostsystem gestartet wird.
Zur Installation sind Administratorrechte nötig, die sich das VMBR beispielsweise durch geschicktes Social-Engineering als Trojanisches Pferd verschaffen könnte. Für die parallel laufende Rootkit-VM haben die Wissenschaftler bislang drei Schadfunktionen implementiert: einen Phishing-Web-Server, einen Keylogger und einen Dienst, der in der VM des Gast-OS nach vertraulichen Dateien sucht. Außerdem konnte ein VM-Dienst für VirtualPC entwickelt werden, der gängige Techniken unterwandert, mit der Programme feststellen, ob sie in einer VM laufen.
Den Zugriff durch die VM auf die bestehenden Festplatten-Partitionen realisierten die Forscher im Falle von VirtualPC durch direkte Modifikationen der VM und im Falle von VMWare durch Änderungen am zugrunde liegenden Linux-Kernel. Die für den Anwender deutlichsten Veränderungen bestünden vor allem in einem deutlich verlängerten Bootvorgang und einer stark nachlassenden Grafikleistung im 3D-Bereich. Diese Effekte ließen sich nach Einschätzung der Wissenschaftler allerdings durch geschickten Einsatz des Standby-Modus zur Simulation eines Ausschaltvorgangs und durch spezialisierte Treiber für das virtualisierte Betriebssystem deutlich verringern. Doch schon auf dem jetzigen Stand der Technik sei ein VMBR nur schwer durch den Anwender zu erkennen. Selbst einer der Forscher habe versehentlich an einem infizierten System gearbeitet, ohne die Präsenz des VMBR zu bemerken.
Die Wissenschaftler folgern aus ihren Experimenten, dass von VMBRs in Zukunft eine realistische Gefahr ausgehen könnte. Die generelle Etablierung von Virtualisierungstechniken, die schon heute beispielsweise im Webhosting- und Server-Bereich zum Stand der Technik gehören, würde den Einsatz eines VMBR weiter vereinfachen und die Erkennung durch betroffene Anwender und Schutz-Software zunehmend erschweren. Ihrer Theorie zufolge gewinnt in dem Kampf zwischen Angreifer und Verteidiger immer derjenige, der die tiefste Schicht im Computer-System kontrolliert. Ein VMBR könne stets die Programme innerhalb der VM kontrollieren, weshalb eine Erkennung durch diese sehr aufwändig sei. Demnach müsste ein entsprechender Schutz noch weiter unten ansetzen, also auf BIOS- oder Hardware-Ebene.
Siehe dazu auch: (cr)
- SubVirt: Implementing malware with virtual machines, PDF-Version der Konzeptstudie zu VMBRs
