Hasch mich, ich bin ein Rootkit
Sicherheitsspezialisten glauben nicht, dass sich Virtualisierungs-Rootkits wie Blue Pill vollständig unsichtbar machen können und fordern die Entwicklerin Joanna Rutkowska zu einem Wettkampf heraus. Die sagt zu, aber zu erschwerten Bedingungen.
- Daniel Bachfeld
Unsichtbar oder nur fast unsichtbar? An der Frage, ob sich ein Virtual Machine Based Rootkit (VMBR) wirklich vollständig der Entdeckung durch Schutzprogramme entziehen kann, entspinnt sich derzeit das Geklüngel um einen Wettkampf zwischen Sicherheitsexperten. Die Rootkit-Expertin Joanna Rutkowska hat bereits 2006 eine Version ihres Rootkit-Prototyp Blue Pill vorgestellt, der das laufende Betriebssystem in eine virtuelle Umgebung verschob – in ihrer Demonstration führte sie das mit einem Vista-Kernel vor. Damit solle das Hypervisor-Rootkit aus dem System heraus nicht mehr erkannt werden können, Rootkit-Detektoren und Virenscanner würden an der Nase herumgeführt.
Die Spezialisten Thomas Ptacek von Matasano Security, Nate Lawson von Root Labs und Peter Ferrie von Symantec wollen daran nicht so recht glauben und führen diverse Punkte an, wie ein Programm auch ein Virtualisierungs-Rootkit entdecken könne. So müsse das Rootkit ein unmodifiziertes System emulieren, was beispielweise das Manipulieren des Time Stamp Clock Registers (TSC) erforderlich mache. Andernfalls könne ein Rootkit-Detektor gestohlene CPU-Zyklen bemerken, meint Nate Lawson. Zudem müsse man auch alle bekannten Fehler des Systems emulieren. Darüber hinaus müsse das Betriebssystem auf VT-unterstützer Hardware auch in der Lage sein, seinen eigenen Hypervisor zu starten, obwohl schon das Rootkit als Hypervisor arbeitet.
Um ihre Annahmen zu beweisen, haben sie Rutkowska zu einem Wettbewerb auf einer der nächsten Black-Hat-Konferenzen herausgefordert. Zwei Laptops werden zur Verfügung gestellt, wovon sie eines mit ihrem Rootkit ausstatten darf. Die Herausforderer untersuchen dann mit ihrer Software die Laptops und versuchen herauszufinden, welches der Laptops mit Blue Pill präpariert ist. Rutkowska ist dem Wettbewerb nicht gänzlich abgeneigt, will aber die Regeln erheblich modifizieren – der Fairness halber, wie sie sagt. So sei die Zahl der zur Verfügung gestellten Laptops auf fünf zu erhöhen, da sonst schon durch einfaches Raten die Wahrscheinlich eines richtigen Tipps bei fünfzig Prozent liege. Auf jedem Gerät soll Blue Pill installiert werden, allerdings beim Start nicht jedes Betriebssystem wirklich verschoben werden. Sichergestellt soll nur werden, dass mindestens eine Maschine mit Blue Pill läuft und mindestens eine nicht. Daneben stellt sie noch einige weitere Forderungen in ihrem Blog.
Zudem sei Blue Pill derzeit noch ein Prototyp, dessen Funktionen noch limitiert seien. Um Blue Pill zu einem professionellem Rootkit auszubauen, das den Wettbewerb gewinnen könne, seien erhebliche Entwicklungsarbeiten nötig: 6 Monate Vollzeit mit zwei Entwicklern. Man sei bereit, diese Arbeit auf sich zu nehmen, allerdings müsse dieser Aufwand irgendwie kompensiert werden: Bei einem von Rutkowsa angenommenen Stundensatz von 200 US-Dollar pro Stunde kämen da schnell mehrere Hunderttausend Dollar zusammen. Ein bisschen piekst Rutkowska in Richtung Thomas Ptacek: Wenn sich er und seine Kollegen so sicher seien, ein Patentrezept gegen Virtualisierungs-Rootkits gefunden zu haben, dann könne es nicht schwer sein, Sponsoren zu finden, die den Wettkampf unter diesen Bedingungen finanzieren würden.
Siehe dazu auch:
- Joanna: We Can Detect BluePill. Let Us Prove It!, Blogeintrag von Matasano Security
- We're ready for the Ptacek's challenge!, Blogeintrag von Joanna Rutkowska
- Reale Löcher in virtuellen Maschinen , Meldung auf heise Security
- Attacks on Virtual Machine Emulators, Analyse von Pete Ferrie
(dab)
