Rootkits: Spielt Microsoft mit dem Feuer?
Virtuelles Phishing
Die Forscher um Samuel King und Peter Chen haben auch bereits praktische Anwendungen entwickelt, die in einer zweiten VM laufen, so etwa einen Key-Logger, einen Phishing-Server und einen Systemdienst, der das nunmehr als Gastsystem in einer VM laufende Windows oder Linux, mit dem der Anwender arbeitet, nach verwertbaren persönlichen Informationen durchforstet.
Anwendern fällt allenfalls auf, dass der Startvorgang länger dauert und dass die 3D-Grafikleistung deutlich reduziert ist. Windows-Programme, die prüfen, ob sie in einer VM ausgeführt werden, können mit einem dafür entwickelten Dienst überlistet werden. Nach Angaben der Forscher ist es sogar einem ihrer Kollegen schon passiert, dass er an einem PC mit einer solchen VM gearbeitet hat, ohne dies zu bemerken.
Das Wettrüsten zwischen Rootkit-Entwicklern und denen, die Lösungen zur Entdeckung solcher Rootkits entwickeln, entscheidet sich stets darüber, wer welche Ebene des Gesamtsystems und damit alle darauf aufbauenden Schichten kontrolliert. Rootkits nach Machart von SubVirt lassen sich nur mit Hardware-Lösungen entdecken, wie sie zum Beispiel Intel vor einiger Zeit angekündigt hat, oder durch Booten von einem sauberen Datenträger, etwa einer Knoppix- oder BartPE-CD.
Weitere Infos finden Sie in diesem PDF: Samuel T. King, Peter M. Chen: "SubVirt: Implementing malware with virtual machines". (PC-Welt/mja)
Links zum Thema IT-Sicherheit |
Angebot |
---|---|
Bookshop |
|
eBooks (50 % Preisvorteil) |
|
Software-Shop |