Impressum | Werbung

Geizhals » Forum » Security & Viren » Rootkit verschiebt Windows in virtuelle Maschine (40 Beiträge, 416 Mal gelesen) Top-100 | Fresh-100

^ Forum  Security & Viren  #3717852 Rootkit verschiebt Windows in virtuelle Maschine Pervasive 18.10.2006, 16:28:27 http://www.heise.de/newsticker/meldung/79676 Auf dem Ende Oktober stattfindenden, von Microsoft initiierten Hackertreffen BlueHat soll ein weiteres Virtual Machine Rootkit vorgestellt werden, das in der Lage ist, Windows zur Laufzeit in eine virtuelle Maschine (VM) zu verschieben. Das Vitriol getaufte Rootkit nutzt dazu Intels Virtualization Technology (VT-x, ehemals Vanderpool). Anders als bei Software-Virtualisierungstechniken bieten auf Hardware beruhende Virtualisierungslösungen direkte Unterstützung durch den Prozessor.   Das in eine VM verschobene Windows oder Linux hat anschließend keinerlei Möglichkeiten mehr, das Rootkit zu erkennen, da es außerhalb seines Wahrnehmungshorizontes läuft. Virenscanner und Rootkit-Schnüffler haben so ebenfalls keine Chance mehr, das System zu schützen. Auch Vistas neue Kernelschutzfunktionen für 64-Bit-Systeme PatchGuard und Treibersignierung wären dann nutzlos. Vitriol wurde vom Sicherheitsspezialisten Dino Dai Zovi entwickelt und bereits auf der vergangenen Black-Hat-Konferenz vorgestellt (Link zu PDF-Dokument) – allerdings nicht vorgeführt. Joanna Rutkowska hingegen hatte auf der Black-Hat einen Prototyp ihres Blue Pill genannten VM-Rootkit in der Praxis gezeigt. Blue Pill nutzt AMDs Virtualisierungslösung SVM/Pacifica, um Windows während des Betriebs einen Hypervisor unterzuschieben. Auch Microsoft untersucht mit seinem Proof-of-Concept-Rootkit SubVirt die Auswirkung von VM-Rootkits. Zur BlueHat werden nur ausgewählte Sicherheitsspezialisten eingeladen, um mit Microsoft über Schwachstellen zu diskutieren. Auf der vergangenen BlueHat waren unter anderen David Litchfield, Halvar Flake, HD Moore und Alexander Kornbrust unter den Vortragenden zu finden. Siehe dazu auch: Rootkit infiltriert Beta-Version von Windows Vista, Meldung auf heise Security Microsoft demonstriert Virtualisierungs-Rootkit, Meldung auf heise Security (dab/c't)   Re: Rootkit verschiebt Windows in virtuelle Maschine  (Somnatic am 18.10.2006, 17:04:28)   Re(2): Rootkit verschiebt Windows in virtuelle Maschine  (Fly am 18.10.2006, 17:24:35)   Re(3): Rootkit verschiebt Windows in virtuelle Maschine  (Somnatic am 18.10.2006, 17:26:43)   Re(4): Rootkit verschiebt Windows in virtuelle Maschine  (Fly am 18.10.2006, 17:29:36)   Re(5): Rootkit verschiebt Windows in virtuelle Maschine  (Somnatic am 18.10.2006, 17:34:55)   Re(6): Rootkit verschiebt Windows in virtuelle Maschine  (Fly am 18.10.2006, 21:08:07)   Re(7): Rootkit verschiebt Windows in virtuelle Maschine  (Somnatic am 18.10.2006, 21:21:56)   Re(8): Rootkit verschiebt Windows in virtuelle Maschine  (Fly am 18.10.2006, 21:26:48)   Re(9): Rootkit verschiebt Windows in virtuelle Maschine  (Somnatic am 18.10.2006, 21:29:38)   Re(10): Rootkit verschiebt Windows in virtuelle Maschine  (Fly am 18.10.2006, 22:33:05)   Re(11): Rootkit verschiebt Windows in virtuelle Maschine  (Somnatic am 18.10.2006, 22:39:16)   Re(7): Rootkit verschiebt Windows in virtuelle Maschine  (West am 19.10.2006, 07:46:55) ^ Forum  Security & Viren  #3719237 Re(8): Rootkit verschiebt Windows in virtuelle Maschine Linux_Sucks 19.10.2006, 10:28:03 Nicht zwingend... Denn im Prinzip könnte der Hypervisor-prozeß ja alle Zugriffe vom Linux-Kernel "abfangen" und selbst genauso durchführen. Der Hypervisor könnte also dieselbe HW-Plattform anbieten, auf der er eh rennt - alleine ein bißchen Memory müßte er abzwacken. Performancetechnisch würdest du das kaum merken, da Prozessoren bei HW-Zugriff eh nur mit warten auf die HW beschäftigt sind... Und er hat es einfacher, weil er ja nur ein Guest-OS laufen hat und daher kein/kaum Ressourcenscheduling durchführen muß. Ach ja, eines noch zur HW... Unter XEN als HV kannst mit VT ein ungepatchtes XP installieren und laufen lassen - und unter Win merkst es net.... war mal auf Heise. Ich frage mich aber nur, wie man das nutzen will - also welcher Vermehrungs- bzw. Fernsteuerungscode im Hypervisor dort laufen sollte. Des weiteren ist mir einfach net bekannt, ob sich Hypervisoren kaskadiren lassen... Also angenommen, ich hab schon einen Hypervisor laufen (Sobald ich einen VT/Pazifica-Prozzi habe, kommt sicher sofort XEN drauf) - dann wird's wohl net klappen (weil ja der laufende Hypervisor kaum die Hypervisor-calls zuläßt). VT an sich finde ich jedenfalls saugeil - ich freue mich schon total drauf. OS hochziehen ohne downtime ? Oder gar wechseln von IIS auf LAPP ? Lösbar... Einfach in einem neuen Guest alles vorbereiten, den booten (produktivsystem bleibt up) - und wenn grad keine Session offen ist einfach switchen... Noch besser bei einem DB-Servercluster. Einfach neuen Guest mit höherer DB-Version starten, in den Cluster stellen, "original"-DB aus dem Cluster entfernen - und du hast hochmigiriert ohne daß benutzer eine einzige Session verlieren (nicht einmal unkommitierte)... *FREU*   Re(9): Rootkit verschiebt Windows in virtuelle Maschine  (West am 19.10.2006, 10:40:26)   Re(10): Rootkit verschiebt Windows in virtuelle Maschine  (Linux_Sucks am 19.10.2006, 11:10:40)   Re(11): Rootkit verschiebt Windows in virtuelle Maschine  (West am 19.10.2006, 11:26:32)   Re(12): Rootkit verschiebt Windows in virtuelle Maschine  (Linux_Sucks am 19.10.2006, 12:05:30)   Re(13): Rootkit verschiebt Windows in virtuelle Maschine  (West am 19.10.2006, 13:13:07)   Re(14): Rootkit verschiebt Windows in virtuelle Maschine  (Linux_Sucks am 24.10.2006, 10:29:17)   Re(15): Rootkit verschiebt Windows in virtuelle Maschine  (West am 24.10.2006, 10:43:55)   Re(16): Rootkit verschiebt Windows in virtuelle Maschine  (Linux_Sucks am 24.10.2006, 12:23:32)   Re(17): Rootkit verschiebt Windows in virtuelle Maschine  (West am 24.10.2006, 12:59:01)   Re(18): Rootkit verschiebt Windows in virtuelle Maschine  (Linux_Sucks am 24.10.2006, 13:15:52)   Re(19): Rootkit verschiebt Windows in virtuelle Maschine  (West am 24.10.2006, 13:26:42)   Re(20): Rootkit verschiebt Windows in virtuelle Maschine  (Linux_Sucks am 24.10.2006, 13:31:21)   Re(21): Rootkit verschiebt Windows in virtuelle Maschine  (West am 24.10.2006, 13:35:15)   Re(22): Rootkit verschiebt Windows in virtuelle Maschine  (Linux_Sucks am 24.10.2006, 13:38:11)   Re(23): Rootkit verschiebt Windows in virtuelle Maschine  (West am 24.10.2006, 13:39:38)   Re: Rootkit verschiebt Windows in virtuelle Maschine  (Diabolo2000 am 18.10.2006, 19:15:14) Vom Autor zurückgezogen oder Autor hat seine Registrierung nicht bestätigt  (mko am 19.10.2006, 07:54:02)   Re(2): Rootkit verschiebt Windows in virtuelle Maschine  (mko am 19.10.2006, 07:54:34)   Re(2): Rootkit verschiebt Windows in virtuelle Maschine  (West am 19.10.2006, 10:47:09)   Re: Rootkit verschiebt Windows in virtuelle Maschine  (Binchen am 18.10.2006, 19:56:24)   Re(2): Rootkit verschiebt Windows in virtuelle Maschine  (hansi99 am 18.10.2006, 20:09:37)   Re(2): Rootkit verschiebt Windows in virtuelle Maschine  (GrummelGrumpf am 24.10.2006, 11:42:17)   Re(3): Rootkit verschiebt Windows in virtuelle Maschine  (Srv-02 am 24.10.2006, 11:55:07)   Re(3): Rootkit verschiebt Windows in virtuelle Maschine  (Linux_Sucks am 24.10.2006, 12:25:23)   Re(4): Rootkit verschiebt Windows in virtuelle Maschine  (GrummelGrumpf am 24.10.2006, 13:33:36)

 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung