computerwoche.de

Security

Malware

Neues Versteck für Rootkits

13.05.2008
Zwei Sicherheitsforscher haben eine neue Rootkit-Spezies entwickelt, die sich in einem obskuren Teil des Microprozessors vor aktuellen Anit-Malware-Lösungen verbirgt.

Nach Virtualisierungs-Rootkits - in den vergangenen beiden Jahren ein heißes Thema - wollen Sicherheitsexperten mit dem "System Management Mode (SMM) Rootkit" nun eine neue Malware-Gattung kreiert haben, die über ungleich bessere Tarnfähigkeiten verfügen soll. Rootkits sind modifizierte Systemdateien oder ganze Sammlungen von Softwarewerkzeugen, die die Präsenz eines schädlichen Objekts auf dem Rechner vor dem Benutzer, aber auch vor Sicherheitssoftware verbergen.

Die von Shawn Embleton und Sherri Sparks, zwei Sicherheitsexperten von der US-Beratungsfirma Clear Hat Consulting, entwickelte neue Malware-Spezies stützt sich auf den System Management Mode (SMM) von Intel-Prozessoren, der eine isolierte Speicher- und Ausführungsumgebung liefert. SMM-Code ist den Forschern zufolge für das Betriebssystem unsichtbar, ermöglicht aber uneingeschränkten Zugriff auf den physischen Speicher des Hosts und die vollständige Kontrolle über die Hardware-Peripherie. Auf der US-Sicherheitskonferenz Black Hat, die im August in Las Vegas stattfindet, wollen Embleton und Sparks erstmals ein Proof-of-Concept-SMM-Rootkit zeigen, das als Keylogger auf Chipsatzebene fungiert, jegliche Spuren verbirgt, das Host-Betriebssystem in keiner Weise modifiziert und in der Lage ist, unbemerkt sensible Daten aus dem Netz abzusaugen. Dabei soll es sämtliche Host-basierenden Instrusion-Detection-Systeme (IDS) und Firewalls umgehen.

Forscher haben in den vergangenen Jahren verstärkt nach Möglichkeiten gesucht, Rootkits zu kreieren, die außerhalb des Betriebssystems laufen, wodurch sie ungleich schwerer zu entdecken sind. Die Sicherheitsexpertin Joanna Rutkowska beispielsweise präsentierte vor zwei Jahren mit ihrer "Blue Pill" ein Rootkit, das die Virtualisierungstechnik in AMD-Chips als Tarnkappe nutzte.

Das SMM-Rootkit nutzt eine ungleich ältere und in weitaus mehr Rechnern befindliche Funktion aus. Ursprünglicher Zweck des bereits mit Intels 386-Prozessoren eingeführten SMM war, Herstellern das Patching ihrer Produkte mittels Software zu erleichtern.

Die Abkopplung vom Betriebssystem erleichtert dem SMM-Rootkit zwar die Tarnung, dafür müssten Hacker den Schadcode allerdings speziell für das jeweils anvisierte Opfersystem schreiben. Demnach, so die beiden Forscher, sei die Malware weniger als potenzielle Massenbedrohung, sondern vielmehr als geeignetes Mittel für gezielte Attacken zu betrachten. (kf)