Virtuelle Rootkits verraten sich selbst

Sicherheitsforscher haben eine These widerlegt, wonach ein Rootkit unter Ausnutzung einer Virtualisierungstechnik nicht aufgefunden werden kann.

Die von Wissenschaftlern der Universitäten Carnegie Mellon und Stanford durchgeführten Tests im Rahmen einer Studie mit Virtualisierungstechnologien wie VMware und Xensource haben gezeigt, dass sich schädliche Rootkits auch dann aufspüren lassen, wenn sie mit Hypervisor-Technologie versteckt wurden.

In der Untersuchung mit dem Titel: “Kompatibilität ist nicht gleich Unsichtbarkeit. VMM Aufspürung: Mythos und Realität” haben sie deutlich gemacht, dass Rootkits eine virtuelle Maschine als Tarnung missbrauchen können.

“Ungeachtet dessen, wie minimal schädlich der bösartige VMM (Virtual Machine Monitor) ist, muss er doch gewisse physische Ressourcen benutzen. Und damit ist das Schadprogramm letztendlich immer auffindbar”, heißt es in dem Forschungsbericht.

Bösartige VMMs schaffen gefährliche Anomalien in dem infizierten System, anhand derer sie entdeckt werden können. Vor allem logische Diskrepanzen zwischen den Schnittstellen der echten und virtuellen Hardware sind verräterische Hinweise bei diesem Versteckspiel.

Auch Unterschiede zwischen den Konfigurationen der virtuellen und realen Hardware wie Chipsets liefern wichtige Informationen. So hinterlassen VMMs durch den Gebrauch von Prozessorleistung und physischen Speicher nachweisbare Spuren.

Erst letztes Jahr hatte die Malware-Forscherin Joanna Rutkowska behauptet, ein absolut unauffindbares Hypervisor-Rootkit namens Blue Pill entwickelt zu haben. Diese Behauptung wurden durch Wissenschaftler der IT-Sicherheitsfirmen Root Labs und Symantec heftig angefochten.