[HaBo]

Bogus

Anzeige

Hallo leutz hab mir mal wieder die Chip gekauft und werde euch mal daraus erzählen:

Verkehrte Welt: Microsoft entwickelt ein Rootkit, das Windows aushebelt. Mehr noch ,das Virtual Machine Based Rootkit (VMBR) namens SubVirt ist ein Super-Rootkit, gegen das Vierenscanner machtlos sind .Denn es wird nicht im attackierten Betriebsystem ausgeführt, sondern parallel dazu in einer virtuellen Umgebung.
Natürlich wechselt Microsoft nicht die Seiten. Mit diesem Szenario zeigt man nur ,was Hackern in Zukunft in den Sinn kommen könnte - und dass die Redmonder auf solche Bedrohungen vorbereitet sind. Trotzdem beunruhigt SubVirt: Was nämlich, wenn die entwickler in Redmond nach dem VMBR-Prinzip die Pcs der User kontrollieren ?

So wie das Rootkit funktioniert, ist es für ein Big-Brohter Szenario brauchbar:
Basis von SubVirt ist die Microsoft-Software VirtualPC, die einen PC emuliert. Das VMBR
installiert sich unterhalb des Betriebsystems und führt dieses nach dem Neustart in einer virtuellen PC-Umgebung aus . Die Installationsdatei ließe sich mit knapp 100 MB über P2P Netze verbreiten, auf der Festplatte braucht es unauffällige 250 MB. Als Anwender spürt man kaum Leistungsabfall, wundert sich allenfalls über längeres Booten. Selbst einer von Microsofts Mitarbeitern saß an einem infizierten System , ohne es bemerkt zu haben.

Ein solches VMBR kann zwar nicht jedes Scripptkiddie schreiben, fortgeschrittene Programmierer aber schon. Wenn es einmal installiert ist, kann das Rootkit alle erdenklichen Anwendungen ausführen. Im Microsoft-Versuch liefen Phishing-Mail-Server und Keylogger, theoretisch aber ließe sich auch ein unumgänglicher Kopierschutz ausführen - oder ein Kontrollmechanismus, der das starten von Open Source Programmen verhindert. FAZIT : Nichts gegen neue Antivieren Strategien: Wenn M$-Entwickler aber demonstrieren, wie sie den PC kontrollieren macht das Angst . Die Frage wie man als User die Kontrolle behält ist und bleibt unbeantwortet. Mit dem knappen Hinweiß auf hardwarebasierte Antivieren Lösungen spielt M$ den Ball weiter. : INFO: www.eecs.umich.edu/rio/papers/king06.pdf
unterm gullibord und mal googeln gibs noch mehr Artikel ( SubVirt )

Bogus: Hammer nicht wahr ? pusst finger pause 8)

Orniflyer

Nun, M$ hat das ja wohl aus anderen Gründen entwickelt. Das man es zweckentfremden kann um Schaden anzurichten ist nunmal ein Risiko. Ich glaube aber das die schon Sicherheitssysteme dafür entwickelt haben oder gerade entwickeln. Speziell für Win Vista.

R!K3R

War das ding für Vista oder XP ?

t3rr0r.bYt3

die "news" ist schon ein wenig älter.

widerspruch ? 2teres sollte zutreffen, daher auch die machtlosigkeit des users. er sitzt in ner VM und kann nich raus, während das rootkit den rechner kontrolliert.

allenfalls bei kommenden windows-versionen machbar. welcher depp lädt schon 100mb, die er nicht kennt und installiert das auch noch ?
und das 250 mb unauffällig sind.. naja, kommt auf den user drauf an.

2Bios

man man man sind die leute bei chip aktuell... aber 250 mb würden mir auf jeden fall auffallen

edit: terrorbyte war mal wieder schneller...

M@rex

Naja, 100 MB sind vll momentan noch etwas groß damit es gut zu verbreiten wäre, aber in Zukunft wenn jeder eine 10 MBit-Leitung hat wird es vll schon eher Chancen geben sowas zu verbreiten. Obwohl ich denke mit etwas Mühe könnte man das Ding noch in der Datengröße drücken. Aber durchaus mal Interessant, muss ja nicht zu kriminellen Zwecken missbraucht werden, zum Debuggen und Testen von Anwendungen in einem Laufenden-System könnte man das ja durchaus auch gebrauchen. Einfach mal das OS virtuell Booten und dann gefahrlos testen.

BTW.: Microsoft demonstriert Virtualisierungs-Rootkit - 2Bios hatte das ganze schon vor geraumer Zeit gepostet.

LX

Damit zeigen sie, dass sie wissen, was kommen könnte. Aber damit zeigen sie noch lange net, dass sie wissen, was man dagegen machen kann. Sehr beruhigend... *g

__________________
"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett

JS BB LX UP

Bogus

100 oder 300 MB würden nicht bei einer 320 GB Platte so wie ich sie habe aufallen !?
auserdem muss man ja dem opfer das geschenk schmackhaft zum download anbieten !
z.b wenn du jetzt nen Game etc per P2P laden würdest !!! namen änderung und endungen von datei namen sind ja bekanntlich möglich also lass dir freie Fantasie

adrian90

Das Rootkit kann einem ja nachher vorgaukeln, dass die Datei gar nicht vorhanden sei. Also fallen die 250MB nicht auf. Jedoch könnte man immer noch mit einer Boot-CD laden und das Rootkit löschen.

flame

Wenn man es denn merkt.. Du darfst da nicht vom Wissensstand eines Habo-members ausgehen!

Bogus

tja selbst die von chip wissen nicht was man dagegen machen kann oder wie man es bemerken kann und mal ganz erlich wär hat den schonmal eine virtuelle windows umgebung schon gesehen !? naja abwarten .... hoffe nur das da jetzt keine unsinn proggt !

2Bios

naja, wenn man den virus nicht kennt, kann man auch kein gegenmittel erzeugen...

aber was mich immer noch interessieren würde: kann eigentlich eine pci-karte auf eine festplatte zugreifen? dann könnte man über diese karte durch die vm durch direkt auf die platte zugreifen und die platte prüfen, da die vm - um nicht aufzufallen - den zugriff erlauben müsste... oder liege ich da falsch?

Watchme

die News is shcon aelter.. und das Dingen is auch nich von M$ allein entwickelt worden....

Microsoft demonstriert Virtualisierungs-Rootkit

nifelan

Die VM würde dir wohl eher nur eine virtuelle Festplatte mit den Daten, die nicht zur VM gehören liefern.

Wenn aber plötzlich TV-Karten etc. nicht mehr funktionieren, könnte das schon ein guter Hinweis sein

2Bios

ok ich hab mich wohl ungenau ausgedrückt: anbei ein bild
roter pfeil: kommunikation mit platte über die vm: da die vm das protokoll kennt, kann es beliebig reinpfuschen
grüner pfeil: kommunikation mit unserer eigenbau-hardware: die vm kennt dieses protokoll nicht und kann deshalb auch nichts manipulieren
blauer pfeil: kommunikation zwischen tim-taylor-hardware und festplatte: ungefiltert weil auf hardwareebene

und nun zur anwendung: wir haben einen wunderschönen hardwaretunnel mit öffnung in der tim-taylor-hardware und können nun auf die platte direkt zugreifen. die vm kann den datenfluss zwischen der karte und dem nutzeros nicht unterbinden, da es sonst auffallen würde. gegen die modifikation des datenstroms durch die vm könnte man mit einer alternativen nutzerschnittstelle auf der karte entgegenwirken (led-display mit buttons oder was auch immer)

naja eigentlich war letzteres meine frage: kann dieses stück hardware auf die platte direkt zugreifen bzw veranlassen, dass daten von der platte in den ram kopiert werden? (deluxe version sogar mir rückschreibe-feature)

ps.: ich hab krasse paint-skills...

edit der zweite: das schaffen wir nie mit so einer einstellungen ist das auch nicht zu schaffen hör einfach Go West von den Pet Shop Boys :]

Angehängte Grafiken

vm-skip.png (4,9 KB, 1025x aufgerufen)