Hacker finden einen neuen Platz, um rootkits zu verbergen

Die Neuentwicklung versteckt sich nicht mehr im Betriebssystem, sondern im Microprozessor des Computers. Dort ist der Schadcode für Antiviren-Programmen praktisch unsichtbar. Das „System Management Mode“-rootkit (SMM) läuft in einem geschützten Bereich des Computer.Speichers. Dieser lässt sich „abschließen“ und Code unsichtbar an das Betriebssystem weitergeben. Dennoch können Angreifer sehen, was im Speicher des Rechners vor sich geht. SMM-rootkit benutzt eine Funktion, die auf Intels 386-Architektur setzt. Der „System management Mode“ wurde implementiert, damit Hersteller Bugs in ihren Produkten mittels Software bereinigen können. Die Technologie wird außerdem eingesetzt, um die Energieverwaltung eines Computers zu kontrollieren.

Das „Proof of concept“-rootkit bringt laut networkworld.com einen Keylogger und Kommunikations-Software mit sich. Somit lassen sich sensible Informationen ergaunern. Entwickelt wurde das SMM-rootkit von Shawn Embleton und Sherri Sparks. Die beiden betreiben die Sicherheits-Firma Clear Hat Consulting. Die Sicherheits-Experten wollen das rootkit auf der Black-Hat-Konferenz im August 2008 vorstellen. „Rootkits gehen immer mehr in Richtung Hardware. Je tiefer man in ein System eindringt, desto mehr Macht erhält man und desto schwerer ist der Schadcode zu erkennen“, sagte Sparks. Sie erwartet allerdings keine Masseninfektion. Angreifer müssten den Virus explizit für das jeweilige System zurechtschneidern. Durch diese Hardware-Abhängigkeit müsse man von gezielten Angriffen sprechen. Des Weiteren sei es nicht unmöglich, das rootkit zu entdecken. Darüber wollen die Entwickler jedoch erst auf der Black-Hat-Konferenz sprechen. Sherri Sparks hatte vor drei Jahren das rootkit Shadow Walker entwickelt. (cat / jdo)