Microsoft ontwikkelt onvindbare Windows en Linux rootkit
Geen Oost-Europese computercriminelen of duistere hackers, maar onderzoeksteams van Microsoft en de universiteit van Michigan werken aan nieuwe prototypes van op virtual machine gebaseerde rootkits, die bijna niet op een systeem te detecteren zijn.
De proof-of-concept rootkit die de onderzoekers ontwikkelde, genaamd SubVirt, maakt misbruik van bekende security lekken om een VMM (virtual machine monitor) onder een Windows of Linux installatie te plaatsen. Is het systeem eenmaal geinfecteerd door de rootkit, dan kan die niet meer gedetecteerd worden, omdat de security software op het geinfecteerde systeem de virtual machine rootkit niet kan scannen.
Het prototype, dat later dit jaar tijdens het IEEE Symposium over Security en Privacy wordt gedemonstreerd, is het werk van Microsoft's Cybersecurity en Systems Management Research Group. De afdeling was eerder verantwoordelijk voor de Strider GhostBuster anti-rootkit scanner en de "Strider HoneyMonkey exploit detection patrol".
Anti-rootkit tools die vandaag de dag gebruikt worden vergelijken het register en bestandssysteem om te zien of er door user-mode of kernel-mode rootkits aanpassingen gemaakt zijn, maar deze tactiek werkt niet als de rootkit zich op een plek bevindt die niet gescand kan worden.
"We gebruikten onze proof-of-concept rootkits om Windows XP en Linux systemen te infiltreren, waarna we vier kwaadaardige services installeerde" schrijft een van de onderzoekers. De rootkits wisten Linux via VMWare en Windows via VirtualPC te infiltreren, waarna de services, zonder gedetecteerd te worden, geinstalleerd werden.
Een manier om de onvindbare VM rootkits toch te vinden, is via hardware detectie. Eerder maakten chipfabrikanten AMD en Intel bekend dat ze hardware zullen ontwikkelen die, in combinatie met "low-layer security" software, VM-rootkits kan detecteren. Een andere oplossing bestaat uit het booten vanaf USB-stick of CD-ROM.
Volgens de onderzoeksteam gaat het om een reële dreiging, wat onderstreept wordt doordat een van de onderzoekers een met de rootkit geinfecteerde PC gebruikte, zonder dat hij dit in de gaten had.
virtuele machine draait, dus niet onvindbaar algemeen!
voorkomen dat bovenstaande op een Linux machine mogelijk is.
Dan blijft er 1 kwetsbaar platform over, Windows.
http://www.astalavista.com/index.php?section=directory&cmd=detail&id=6365
maar voor de IE gebruikers raad ik aan om ver van
Astalavista te blijven (don't say i didn't warn you ;).
VMBR (Virtual Machine Based Rootkit) moet wel eerst nog via
een of andere exploit op de machine geinstalleerd worden en
daarna is er nog een reboot voor nodig om het echt op te
starten. Daarna is het eigenlijk een soort Matrix, je denkt
dat je OS alles is wat er draait, maar daaronder zit nog een
heel andere laag die voor het OS onzichtbaar is.
verstoppen. Wat me wel opvalt is de toename in boot-tijd,
iets wat een gebruiker zou kunnen opvallen (ineens een
verschil van ca. 20 seconden).
Zeker in het geval waar bijvoorbeeld een grub of lilo
bootloader gebruikt word, zou het -als ik het goed begrijp-
ca. 20 seconden langer duren voordat het menu er komt, en
dat moet opvallen lijkt mij.
geconfigureerde disk-volume checker zou het gewijzigde
volume moeten detecteren waarna een uitgebreide
systeemcontrole plaats moet hebben.
over VISTA 64 bits en DRM....
voorkomen dat bovenstaande op een Linux machine mogelijk
is.
Mis, probeer het nog eens.
Het is wel duidelijk dat MS heeft geprobeerd een probleem te
zoeken bij hun oplossing (TCPA e.d.), maar opzich hebben ze
een valide punt.
Totale controlle noemen ze zo iets.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!