Nieuws

Microsoft ontwikkelt onvindbare Windows en Linux rootkit

zaterdag 11 maart 2006, 09:19 door Redactie, 10 reacties

Geen Oost-Europese computercriminelen of duistere hackers, maar onderzoeksteams van Microsoft en de universiteit van Michigan werken aan nieuwe prototypes van op virtual machine gebaseerde rootkits, die bijna niet op een systeem te detecteren zijn.

De proof-of-concept rootkit die de onderzoekers ontwikkelde, genaamd SubVirt, maakt misbruik van bekende security lekken om een VMM (virtual machine monitor) onder een Windows of Linux installatie te plaatsen. Is het systeem eenmaal geinfecteerd door de rootkit, dan kan die niet meer gedetecteerd worden, omdat de security software op het geinfecteerde systeem de virtual machine rootkit niet kan scannen.

Het prototype, dat later dit jaar tijdens het IEEE Symposium over Security en Privacy wordt gedemonstreerd, is het werk van Microsoft's Cybersecurity en Systems Management Research Group. De afdeling was eerder verantwoordelijk voor de Strider GhostBuster anti-rootkit scanner en de "Strider HoneyMonkey exploit detection patrol".

Anti-rootkit tools die vandaag de dag gebruikt worden vergelijken het register en bestandssysteem om te zien of er door user-mode of kernel-mode rootkits aanpassingen gemaakt zijn, maar deze tactiek werkt niet als de rootkit zich op een plek bevindt die niet gescand kan worden.

"We gebruikten onze proof-of-concept rootkits om Windows XP en Linux systemen te infiltreren, waarna we vier kwaadaardige services installeerde" schrijft een van de onderzoekers. De rootkits wisten Linux via VMWare en Windows via VirtualPC te infiltreren, waarna de services, zonder gedetecteerd te worden, geinstalleerd werden.

Een manier om de onvindbare VM rootkits toch te vinden, is via hardware detectie. Eerder maakten chipfabrikanten AMD en Intel bekend dat ze hardware zullen ontwikkelen die, in combinatie met "low-layer security" software, VM-rootkits kan detecteren. Een andere oplossing bestaat uit het booten vanaf USB-stick of CD-ROM.

Volgens de onderzoeksteam gaat het om een reële dreiging, wat onderstreept wordt doordat een van de onderzoekers een met de rootkit geinfecteerde PC gebruikte, zonder dat hij dit in de gaten had.

Volledig versleutelde laptop van Seagate

Microsoft vervangt Outlook Express door nieuwe e-mail client

Reacties (10)

11-03-2006, 13:16 door Anoniem

De rootkit is alleen onvindbaar voor de software dat in de
virtuele machine draait, dus niet onvindbaar algemeen!

11-03-2006, 14:50 door Anoniem

Een goed geconfigureert AppArmor voor VMWare zou moeten
voorkomen dat bovenstaande op een Linux machine mogelijk is.

Dan blijft er 1 kwetsbaar platform over, Windows.

11-03-2006, 16:51 door beamer

Interessant het artikel is op Astalavista te vinden:
http://www.astalavista.com/index.php?section=directory&cmd=detail&id=6365
maar voor de IE gebruikers raad ik aan om ver van
Astalavista te blijven (don't say i didn't warn you ;).

VMBR (Virtual Machine Based Rootkit) moet wel eerst nog via
een of andere exploit op de machine geinstalleerd worden en
daarna is er nog een reboot voor nodig om het echt op te
starten. Daarna is het eigenlijk een soort Matrix, je denkt
dat je OS alles is wat er draait, maar daaronder zit nog een
heel andere laag die voor het OS onzichtbaar is.

11-03-2006, 20:03 door Anoniem

Klinkt inderdaad als een "goede" manier om malware te
verstoppen. Wat me wel opvalt is de toename in boot-tijd,
iets wat een gebruiker zou kunnen opvallen (ineens een
verschil van ca. 20 seconden).

Zeker in het geval waar bijvoorbeeld een grub of lilo
bootloader gebruikt word, zou het -als ik het goed begrijp-
ca. 20 seconden langer duren voordat het menu er komt, en
dat moet opvallen lijkt mij.

12-03-2006, 17:48 door G-Force

OK....en wat doe je dan?

12-03-2006, 18:00 door Anoniem

VM's hebben 'ruimte' nodig om te functioneren, dus een goed
geconfigureerde disk-volume checker zou het gewijzigde
volume moeten detecteren waarna een uitgebreide
systeemcontrole plaats moet hebben.

13-03-2006, 01:30 door Anoniem

Wel toevallig dat dit boven water komt net nadat er weer een storm begint
over VISTA 64 bits en DRM....

13-03-2006, 03:30 door Anoniem

Paper: http://www.eecs.umich.edu/~pmchen/papers/king06.pdf

13-03-2006, 09:34 door raboof

Een goed geconfigureert AppArmor voor VMWare zou moeten
voorkomen dat bovenstaande op een Linux machine mogelijk
is.

Mis, probeer het nog eens.

Het is wel duidelijk dat MS heeft geprobeerd een probleem te
zoeken bij hun oplossing (TCPA e.d.), maar opzich hebben ze
een valide punt.

20-03-2006, 16:28 door spatieman

M$ die rootkits bouwen om over de schouders mee te kijken, tss..
Totale controlle noemen ze zo iets.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer