Virtualisierungs-Rootkit Blue Pill frei verfügbar
Blue Pill soll in der Lage sein, ein laufendes Windows in eine virtuelle Umgebung zu verschieben – ganz ohne Neustart und für den Anwender unsichtbar. Damit ist es aus dem System heraus mit bisher bekannten Methoden nicht aufzuspüren.
- Daniel Bachfeld
Die Rootkits-Spezialistin Joanna Rutkowska hat den Quellcode einer komplett neu geschriebenen Version des Virtualisierungs-Rootkits Blue Pill frei zugänglich gemacht. Bereits auf der Black-Hat-Konferenz in Las Vegas 2006 stellt sie einen Prototypen des Rootkits vor. Das neue Blue Pill wurde nicht nur überarbeitet, sondern bietet neue Funktionen und setzt laut Beschreibung nun auf die Virtualisierungsunterstützung moderner Prozessoren (HVM, hardware virtualized machines).
(New) Blue Pill soll damit in der Lage sein, ein laufendes Windows in eine virtuelle Umgebung zu verschieben – ganz ohne Neustart und für den Anwender unsichtbar. Damit ist es so aus dem System heraus mit bisher bekannten Methoden nicht aufzuspüren. Blue Pill unterstützt dabei AMDs Virtualisierungslösung SVM/Pacifica, um Windows während des Betriebs einen Hypervisor unterzuschieben. Intels Lösung VT-x kann Blue Pill noch nicht nutzen.
Dafür soll Blue Pill einige Funktionen bieten, die seine Erkennung durch Rootkit-Detektoren erschweren sollen. Unter anderem soll es in der Lage sein, auch verschachtelte Hypervisors zu unterstützen, sowie die Abfrage des Time Stamp Clock Registers (TSCR) zu manipulieren (RDTSC cheating), um zu verhindern, dass ein Spürhund gestohlene CPU-Zyklen entdeckt. Offenbar haben Rutkowsa und der Mitautor von Blue Pill, Alexander Tereshkin, damit auf die Kritik von Thomas Ptacek von Matasano Security, Nate Lawson von Root Labs und Peter Ferrie von Symantec reagiert: Sie wollen nicht so recht glauben, dass Blue Pill unentdeckbar ist und hatten Rutkowsa zu einem Wettkampf herausgefordert – dem sie allerdings geschickt aus dem Wege ging.
Allerdings gibt es in der nun veröffentlichten Version trotzdem ein paar Einschränkungen: Virtual PC 2007 stürzt ab, wenn es in Blue Pill läuft – womit Ptacek, Lawson und Ferrie einen ersten Treffer erzielen könnten. Zudem soll die Manipulation des Time Stamp Registers (RDTSC cheating) noch sehr einfach implementiert sein. Die derzeit zum Download angebotene Version lässt sich offenbar nur unter Windows mit dem Driver Development Kit (NTDDK) übersetzen.
Siehe dazu auch:
- Blue Pill Projekt, Homepage von Blue Pill
- Hasch mich, ich bin ein Rootkit, Meldung auf heise Security
(dab)
