Verschachtelte Virtualisierung
Eben bin ich auf einen interessanten Artikel im Blog der Rootkit-Expertin Joanna Rutkowska gestoßen. Das Blog hatte ich schon länger in meiner Linksammlung, da Frau Rutkowska auf dem 23C3 einen sehr interessanten Vortrag zum Thema “Stealth Malware” gehalten hat. Den Vortrag gibt es als Video im Netz.
Jedenfalls geht es in dem oben genannten Artikel um das “proof of concept” Rootkit Bluepill. Diese Software, es handelt sich um einen Windows Kernel Treiber, nutzt die Virtualisierungsfunktionen moderner CPUs aus, in dem es das laufende System in eine virtuelle Umgebung verschiebt und es so vollständig kontrolliert. Der ganze Vorgang geht so schnell, dass der Benutzer am Rechner davon nichts mitbekommt. Durch diese Form der Kontrolle ist das Rootkit durch Antiviren Software nicht erkennbar, da es nicht im Kontext des Betriebssystemes läuft, sondern darunter liegt und sich so vollständig verbergen lässt.
Die aktuelle Version von Bluepill ist jedenfalls jetzt so weit entwickelt, dass auf dem virtualisierten Betriebssystem noch weitere Virtualisierungssoftware wie VMWare oder Virtual PC funktionieren. So lässt sich dann gleich ein ganzer Server und alle virtuellen Maschinen darauf kontrollieren. Laut Frau Rutkowska ist das wahrscheinlich die erste verschachtelte hardware-gestützte Virtualisierung neben der Lösung auf IBM Mainframes.
Diese Software ist ein beeindruckendes Beispiel für die technischen Möglichkeiten heutiger Schadsoftware.
