Onderzoekers ontwikkelen virtual-machine rootkit

Onderzoekers van Microsoft Research en de universiteit van Michigan hebben samen een prototype ontwikkeld voor een rootkit, gebaseerd op een virtual-machine, zo meldt eWeek. Middels fouten in het draaiende besturingssysteem, weet deze rootkit controle over de bootprocedure te krijgen. Dit geeft de rootkit de mogelijkheid om een virtual-machine (VM) te installeren en het huidige besturingssysteem in deze VM te starten. Het is nu heel erg lastig om vanuit het besturingssysteem eventuele kwaadaardige software te detecteren die parallel wordt uitgevoerd met de VM, omdat deze software niet buiten de VM kan kijken. Het kan zelfs al lastig zijn om te detecteren of het besturingssysteem zich überhaupt in een VM bevindt.

Scherm met radarHet eerste prototype, genaamd SubVirt, gebruikte VMWare om een Linux-systeem te infecteren en voor een Windows-systeem werd Microsofts eigen VirtualPC-applicatie gebruikt. Deze rootkit bevatte vier onderdelen: een phishing webserver, een applicatie die alle toetsaanslagen registreerde, een applicatie die het bestandssysteem doorzocht naar gevoelige informatie en een systeem om VM-detectiesystemen om de tuin te leiden. Aangezien het maken en gebruiken van SubVirt vrij eenvoudig was, kunnen dit soort rootkits volgens de onderzoekers in de toekomst een reëel gevaar gaan vormen:

"We believe the VM-based rootkits are a viable and likely threat," the research team said. "Virtual-machine monitors are available from both the open-source community and commercial vendors ... On today's x86 systems, [VM-based rootkits] are capable of running a target OS with few visual differences or performance effects that would alert the user to the presence of a rootkit."

Scherm met virusDat huidige VM's een minimaal effect op het uiterlijk en de prestaties van een systeem hebben, is al bewezen door de onderzoekers zelf. Tijdens het onderzoek heeft één van de onderzoekers een tijd op een besmet systeem gewerkt, zonder dit te merken. Mogelijke oplossingen kunnen in twee hoeken gezocht worden. De eerste is door nog een laag onder de VM te scannen met behulp van hardware. AMD en Intel hebben beide al hardware gepresenteerd die kan helpen bij het detecteren van VM's. Een andere techniek zorgt ervoor dat de bootprocedure niet misbruikt kan worden. Dit kan door bijvoorbeeld van een niet herschrijfbaar medium te starten, of door een VM monitor te starten voor de bootprocedure, die het systeem controleert op rootkits.

Door Matthijs Abma

Feedback • 12-03-2006 13:45 79

12-03-2006 • 13:45

79

Bron: eWeek

Lees meer

'Hardwarematige rootkitdetectie onbetrouwbaar'
'Hardwarematige rootkitdetectie onbetrouwbaar' Nieuws van 5 maart 2007
Chip moet virussen hardwarematig bestrijden
Chip moet virussen hardwarematig bestrijden Nieuws van 28 november 2006
McAfee trekt van leer tegen uitsluiting Vista-kernel
McAfee trekt van leer tegen uitsluiting Vista-kernel Nieuws van 2 oktober 2006
Proof-of-concept cross-platform virus ontdekt
Proof-of-concept cross-platform virus ontdekt Nieuws van 8 april 2006
VMware maakt bestandsformaat openbaar
VMware maakt bestandsformaat openbaar Nieuws van 5 april 2006
Microsoft: formatteer en herinstalleer bij vermoeden rootkit
Microsoft: formatteer en herinstalleer bij vermoeden rootkit Nieuws van 5 april 2006
'Verbod op rootkits wenselijk'
'Verbod op rootkits wenselijk' Nieuws van 17 februari 2006
Rootkit maakt mogelijk stap naar BIOS
Rootkit maakt mogelijk stap naar BIOS Nieuws van 28 januari 2006
Symantec roept op tot definitie 'rootkit'
Symantec roept op tot definitie 'rootkit' Nieuws van 16 januari 2006
Kaspersky wijst 'rootkit'-beschuldiging van de hand
Kaspersky wijst 'rootkit'-beschuldiging van de hand Nieuws van 14 januari 2006
Intel werkt aan rootkit-detectie
Intel werkt aan rootkit-detectie Nieuws van 8 december 2005
RIAA ziet geen probleem in rootkits
RIAA ziet geen probleem in rootkits Nieuws van 21 november 2005
Microsoft doet HoneyMonkey-project uit de doeken
Microsoft doet HoneyMonkey-project uit de doeken Nieuws van 10 augustus 2005
Meer producten en artikelen
Wetenschap

Reacties (79)

-Moderatie-faq
79
79
56
22
6
0
Wijzig sortering
duikeend 12 maart 2006 15:33
Op dit moment kan ik alleen gemakkelijk controleren of er een vm omgeving draait door een game op te starten..

mijn ervaring is dat een spel als F.E.A.R. toch een vm omgeving niet echt accepteerd en een " echte" omgeving wil.

nu alleen mijn baas overtuigen dat ik elke ochtend eerst een uurtje moet gamen om de pc te testen :+
Verwijderd @duikeend12 maart 2006 19:53
Je slaat dan ook de spijker op z'n kop. De meeste mensen draaien programmas waarbij de machine vooral idle blijft. De rootkit valt dan niet op. Temeer omdat dit maar een hele dunne laag hoeft te zijn. Een normale VM moet alle calls zelf implementeren en HW aanspreken.Deze rootkits hoeven nog minder te doen. Alleen bij echte zware applicaties vallen ze dan ook door de mand.
Verwijderd @duikeend12 maart 2006 15:48
Als een game dat kan ontdekken (bijvoorbeeld doordaty bepaalde functionaliteit niet te gebruiken is) dan kan een detectie progje dat dus ook
Martin-S 12 maart 2006 13:50
Waarom worden dit soort dingen naar buiten gebracht?? Kan alleen maar mensen op verkeerde ideeën brengen.

Reactie was al na 2 seconden overbodig?
Chatslet @Martin-S12 maart 2006 18:47
Ik denk dat het allemaal wel mee valt. Iemand ooit gegamed op een Virtual Machine? Zo ja, dan hoef ik niet meer te zeggen.
diederik77 @Chatslet12 maart 2006 22:26
Als jij gamed en je merkt dat het (veel) trager gaat dan normaal, denk je dan aan een VM-virus???

Ik iig niet, en zeker niet vóór dit bericht. Dus toch best nuttig om het naar buiten te brengen.
freaky @diederik7713 maart 2006 10:54
Nee.

Zou echter wel zou chagarijnig worden dat uiteindelijk een full-format het probleem wel verhelpt...
SpiceWorm @diederik7714 maart 2006 19:36
Het is dus zelfs maar de vraag of een full format de boel verwijderd! Was er niet ooit eens een virus wat zich in de bootsector / partition table nestelde?
Wim-Bart @Chatslet13 maart 2006 00:38
Er is verschil tussen gamen in een Virtual Machine en Virtual Machine.

Wanneer je gebruikt maakt van een Virtual machine onder een OS, bijvoorbeeld Virtual PC of gewoon VMWare dan merk je het verschil. Maar als je een onder bijvoorbeeld VMWare/ESX draait, dan merk je weinig verschil als je maar één OS hebt draaien.
thegve @Chatslet12 maart 2006 18:51
Nee, ik heb verschillende servers tegelijk gedraaid, software getest, virtuele netwerken gebouwd... Mijn punt is, VM's zijn niet echt om te gamen.
CherandarGuard @thegve12 maart 2006 19:16
En dat was nou precies Tha Lord's punt :P

Gamen op een VM gaat niet goed, dus je zou het merken als er een VM draait en je probeert te gamen.
Countess @Martin-S12 maart 2006 13:54
een gewaarschuwd mens telt voor 2 zeggen ze wel eens,
en hoewel hij dan idd afentoe door de brug zakt (ik neem aan dat iedereen dat grapje kent) zal het meestal wel in zijn voordeel uitpakken.
PolarBear @Martin-S12 maart 2006 13:52
Security trough obscurity is niet ideaal. Is geen beveiliging, is geen zekerheid.
Verwijderd @Martin-S12 maart 2006 13:55
Omdat er anders toch mensen op dit idee komen zonder dat de wereld er van af weet... beter dat iedereen er nu van af weet dat zo iets kan.

Security through obscurity is niet altijd een goede oplossing...

Omdat dit naar buiten is gebracht, zullen bedrijven die antivirus software schrijven er misschien meer aandacht aan besteden in de toekomst om rekening te houden met zo'n virussen.
groene henk 12 maart 2006 18:56
Dit is gelukkig nog een heel theoretisch pobleem, maar het probleem komt daar het Virtuele systeem bovenop een OS draait.
Je hebt dus een native virtueel systeem nodig dat direct op de hardware draait en dat niet gebaseerd is op linux of (nog erger) windows. Dan kun je met root-kits ook niks bereiken.

Het enige dat voor Intel/AMD nu nog alleen kan is VMware ESX, welke niet gebaseerd is op linux/windows, maar een soort eigen (virtualisatie)-taal.

Wel weer een leuk onderzoek voor de virusmakers. Toch weer upgraden dus?
brompot758 @groene henk12 maart 2006 19:02
VMware ESX is een voor VM geoptimaliseerde Linux 2.4 kernel. Verder doet deze kernel zeer rigide driver checks zodat alleen door VMware gesupporte hardware gebruikt wordt voor de host.

Maar het is inderdaad wat lastig om hier nog een rootkit als host voor ESX onder te schuiven.
klakkie.57th @brompot75812 maart 2006 19:55
Brompot dit is vloeken in de kerk.
VMWare ESX is helemaal geen linux. Het enige deeltje linux, is de management console dat zelf eigenlijk ook een virtuele machine is.
brompot758 @klakkie.57th12 maart 2006 22:45
Ik wil niet vervelend doen, maar als je in ESX inlogt (als root of whatever) en je doet uname -a op de command prompt dan krijg je gewoon een Linux versie string te zien.

ESX is een sterk gemodificeerde Linux 2.4 kernel (je kunt ook zeggen: draait op een sterk gemodificeerde Linux kernel, dat is een kwestie van gezichtspunt). Om goed te kunnen optimaliseren hebben ze wel heel veel overhoop gehaald, maar de basis is Linux. Daarom zitten ze ook nog niet op 2.6, er is erg veel gewijzigd in de 2.4 kernel. Ik schat in dat ESX 3 op 2.6 zal draaien. Daarbovenop draait nog een aantal server processen die de VM's managen, maar die hebben geen interface rechtstreeks met de hardware.

Uitzondering is het eigen filesystem, dat niet vanuit de linux shell te zien is.

Dat is trouwens ook waarom GSX oorspronkelijk alleen op Linux te krijgen was: ze hadden de trucjes op Linux al voor elkaar, op Windows nog niet.

De open source gedeeltes van ESX/GSX/WS zijn overigens gewoon te downloaden op de VMware site (zoals ze ook verplicht zijn volgens GPL)
klakkie.57th @klakkie.57th13 maart 2006 00:11
Brompot, ik weet toch wel 1000000000 % zeker vmware is geen linux. Het is niet omdat de Frontend op linux draait dat VMWare ESX zelf ook linux is.
VMWare is een OS op zich helemaal niks linux.
De MUI (zo heeft dat ding) is een virtuele machine die tijdens het booten van VMWare wordt opgestart dmv een script, dit is eigenlijk net zoals je win3.11 die startte je ook op bovenop je dos. Dos was het eigelijke OS win3.11 de grafische schil.

MAW op de site van VMWare vind je alle info over die Virtuele "Linux" Machine called Mui maar helemaal niks over de VMKernel en dat is het OS

Ik heb ook altijd gedacht dat ESX een soort Linux tot je op VMWare cursus gaat :)
Als je echt geinteresseerd bent in VMWare ESX gewoon effe het über-book bestellen "VMWare ESX Server Advanced Technical Design Guide" by Ron And Scott
brompot758 @klakkie.57th13 maart 2006 09:03
Dat zijn wel heel veel procenten. Ik heb het ook niet over de mui, ik heb het over inloggen op de console van de ESX machine zelf, gewoon in textmode.

Als je een ESX(2.5) machine boot dan zie je een Linux kernel booten. Als ik een disk subsystem heb dat niet standaard door VM ondersteund wordt dan kan ik de Linux driver daarvoor laden. Ik moet hem wel in een config file toevoegen voordat de disks naar een VM geexporteerd kunnen worden.

Natuurlijk is het zo dat VMware hier nog heel veel bovenop zet en dat ze ook heel veel toevoegingen aan de kernel gedaan hebben, maar het basis OS is Linux.

Ik ben al jaren beta tester voor VMware. Ik heb het voor de zekerheid nog even gechecked met de technische jongens van VMware zelf. Een ESX server loopt op een (heel goed verstopte) linux kernel.
klakkie.57th @klakkie.57th13 maart 2006 10:20
Nou dan leren ze je in de les toch heel wat anders en gelukkig heb ik op mijn examen de vragen dan toch goed beantwoord. :)

Dat jij een ander filesysteem kan mounten is ook geel gewoon jij mount deze op de linux niet op de vmware kernel.


Hier een stukkie uit het book, en dit zijn toch wel echt De VMWare guru's.

An esx server is made up of two core components.

. The esx Server Kernel (Called VMKernel)
. The Console operating system ("cos", also contains "VMNix")

There is quite a bit of confusion in regards to what vmnix and the vmkenel really are. VMNix is a customized linux kernel based on redhat 7.2.

de rest kan je zelf lezen op paginas 25-27

en op pagina 30.

A common misconception of ESX is that it runs on Linux. Let's set the record straight once and for all: ESX is not linux. It's not derived from linux, and does not run on linux. ....

Ik weet dus echt niet wel techboys je dit hebben verteld maar ik ben echt wel zeker van mijn procentjes.
We kunnen altijd een support Call openen en het effe vragen ik denk dat mijn support contract ook wel dit soort vragen van een oplossing kan voorzien :)
brompot758 @klakkie.57th13 maart 2006 17:42
De tech jongens waar ik contact mee heb is het beta support team. Dat is een laag tussen de beta testers en de ontwikkelaars.

Het verhaal is een tikkeltje complexer dan 'ESX draait standalone' en ook een tikkeltje complexer dan 'ESX draait op Linux'. Het is meer een soort symbiose.

Ik wil de discussie graag voortzetten, maar dan ergens anders. Deze discussie is namelijk erg ver van het originele bericht afgedwaald.
EWS99 12 maart 2006 14:04
Dit geeft de rootkit de mogelijkheid om een virtual-machine (VM) te installeren en het huidige besturingssysteem in deze VM te starten
Het lijkt mij sterk dat je dat niet merkt. Immers de hardware van een VM wijkt toch wel af van de host. Hij moet dan toch op z'n minst nieuwe hardware vinden en installeren?

Blijft wel een slimme truuk :*)
Frank-L @EWS9912 maart 2006 14:08
Als je een VM ontwikkelt die alleen maar als host voor een rootkit hoeft te dienen (en niet om meerdere OS'en tegelijk op te draaien) dan ligt het natuurlijk voor de hand om de hardware emulation layer zo dun mogelijk en in feite gewoon transparant te maken. Dus dan heb je geen andere hardware onder de VM.
darthdrinker @EWS9912 maart 2006 14:14
"Hee mijn windows startte gister ook iets trager op , vaag.
Nou ja vandaag doet ie het gewoon weer goed dus het zal we niks zijn." - Willekeurig window noob gesprek. :)

Denk je echt dat mensen zich daar druk over maken?
Er zijn denk ik maar weinig mensen die echt iedere dag voor hun monitor gaan zitten wachten tot het systeem is opgestart.
Verwijderd 12 maart 2006 19:24
. Een andere techniek zorgt ervoor dat de bootprocedure niet misbruikt kan worden. Dit kan door bijvoorbeeld van een niet herschrijfbaar medium te starten
Nou, dan zijn we in 30 jaar wel veel opgeschoten. |:(
Verwijderd @Verwijderd12 maart 2006 20:24
Mja, dat is natuurlijk een onzin oplossing. Er is maar 1 plek waar dit wordt veroorzaakt en waar je dit kan oplossen, maar om onduidelijke redenen kijkt niemand daar naar...het besturingssysteem. Met name: de veel te slappe (monolithische) kernel en het onbeschermde filesysteem.
Verwijderd 12 maart 2006 14:45
De VM verzorgt de verbinding tussen de hardware en jouw windows, dingen afvangen is dan een vrij simpel klusje.

Windows ziet daarentegen alleen maar (virtuele) hardware en stuurt dat aan zoals hij gewend is.
RobIII 12 maart 2006 16:33
Wat is een "sandnet"? Bedoel je een sandbox?
Je begrijpt vrees ik zelf de strekking van dit artikel niet. Wat nou als je OS gestart wordt binnen een VM? (En dan heb ik het NIET over VM-ware, maar een generic VM). Hoe weet je OS dat het binnen een VM draait? Hoe weet "Norton" dat het binnen een VM draait? Als de VM geen mogelijkheid biedt tot "communicatie" naar de child-OSsen is het toch verrekte moeilijk om daar achter te komen.
Verder zie ik niet wat ghost er mee te maken heeft (die ghost het namelijk vrolijk mee) en al helemaal niet wat "meer appz draaien" zou oplossen.
Verwijderd 12 maart 2006 14:30
Microsoft gaat dit vast gebruiken om TPM te rechtvaardigen. En natuurlijk is Linux niet trusted. Immers VMWare kan prima op Linux draaien, dus is Linux juist het laatste wat Microsoft wil toelaten.

Slimme zet. Jammer dat wij weer het slachtoffer worden.
RobIII @Verwijderd12 maart 2006 16:25
Kunnen we nou alsjeblieft 1 keer heel de MS/Linux discussie achterwege laten, en al helemaal het TPM gedoe?
Dit hele verhaal geldt voor _alle_ OS-sen en heeft niks van doen met MS noch met Linux of TPM. Dit soort discussies begint me echt de keel uit te komen.
Verwijderd @Verwijderd12 maart 2006 14:43
Gelukkig kijkt iedereen weer positief naar microsoft :)

Er wordt hier toch alleen aangegeven dat het mogelijk is en dat het een vrij serieuze dreiging is? Dat jij het gelijk ziet als een manier op linux te verhinderen zegt meer over jouw denken dan dat van hun. |:(

Overigens: 'via gaten in het besturingssyteem wist de rootkit controle over de boot te krijgen' --> Het is toch zowiezo eenvoudig om een bootloader te installeren/de huidige te modificeren dat hij naar een andere os (de vm- host) wijst? Enige waarvoor je moet zorgen is dat ze veel op elkaar lijken, dan ben je klaar.
n4m3l355 @Verwijderd12 maart 2006 15:44
imo is het juist raar dat iedereen positief naar MS kijkt.
door fouten in eigen software te graven (zij hebben immers via hun eigen source wel een makkelijkere opdracht) maken ze de mogelijkheid om een virus/vmware te ontwikkelen die hun eigen software misbruikt. als MS dit actief zou doen zouden er veel minder fouten aanwezig zijn en zouden we nu misschien niet zo onder de huidige fouten lijden. ik hoop dat MS dan hier ook een draai aan geeft om dit soort actieve virusschrijven opzet om zo zelf fouten uit software te halen ipv het bij alleen deze proof of concept te houden.
Verwijderd @Verwijderd12 maart 2006 14:40
Dat is dan ook het idee achter TPM: de concurrentie volledig uitschakelen.
genosis 12 maart 2006 13:50
Laat ze eerst maar eens beschermingen bedenken tegen rootkits... in plaats van rootkits zelf.

Het is eigenlijk net zoiets als een kerncentrale even flink ze gang laten gaan om te kijken hoe erg het mis kan gaan in een gecontroleerde omgeving...
PolarBear @genosis12 maart 2006 13:52
Als je weet hoe je iets moet doen kan je er ook veel beter iets tegen doen... simpel.
Mizitras @PolarBear13 maart 2006 09:23
Dat verklaard Tsjernobyl dus? :P
Mizitras @PolarBear13 maart 2006 09:25
..en als er niets is, dan creëert men dat wel. Kijk maar naar de corrupt medische wereld, hoe sommige verhalen spreken dat ze zelf vraag hebben gecreëerd.
YaPP 12 maart 2006 14:11
Middels fouten in het draaiende besturingssysteem, weet deze rootkit controle over de bootprocedure te krijgen.
Hierover kan ik alleen maar zeggen: repareer deze fouten dan!! Klinkt nogal stom zo namelijk.

Verder wel een interessant artikel. Je hoofd-OS ongemerkt in een VM draaien zodat echt alle pogingen om de rootkit te detecteren afgevangen kan worden. Ben wel benieuwd hoe complex die software moet zijn om dit te kunnen draaien.

@klakkie.57th: ik snap dat mijn formulering eerst wat ongelukkig was, ik doelde op het idee dat een rootkit een VM opstart waarin het OS gedraaid wordt, zodat alle pogingen om de rootkit te detecteren afgevangen kunnen worden. Dat is namelijk waar het artikel over gaat.
klakkie.57th @YaPP12 maart 2006 14:21
Nou ik doe dit toch echt al een tijdje hoor. Als ik op het internet ga rondneuzen, naar sites waar ik normaal niet kom doe ik dit haast altijd vanuit een virtual Machine, zo krijgen Spyware en virussen totaal geen kans.
Net zo goed heb ik ook een virtual Machine die helemaal togetimmerd heb om enkel mijn banktranacties te doen.
Deze VM kan enkel connecteren naar mijn bank en vice versa.
Dit is gewoon de toekomst
FlorisB @klakkie.57th12 maart 2006 16:08
En je bent er nog steeds niet achter dat je main OS al een behoorlijke tijd een rootkit-achtige spyware bevat?

:P :+
OverSoft @klakkie.57th12 maart 2006 17:08
Beetje paranoide niet? Dit is wel erg overdreven.
Als je een simpel virusscannertje (bijvoorbeeld AVG) en Hitman Pro draait en gewoon zelf een beetje oplet met wat je doet is de kans wel heel erg klein dat er iets gebeurd.

Daarnaast hebben alle banken in Nederland tegenwoordig een systeem wat tenminste een code / wachtwoord buiten internet om vereist (Postbank: SMS, ABN / Rabo: Calculator)
RobIII @YaPP12 maart 2006 16:28
Hoeft helemaal niet zo complex te zijn (relatief gezien). Je hoeft alleen maar de voor jou interessante dingen te vangen (keystrokes, packets die binnen komen of gaan vanuit je NIC enz.) en de rest allemaal door te gooien naar het systeem zelf. Ik durf te wedden dat het met een relatief klein stukje software (like ergens <500Kb) al prima te doen valt. Zou me niks verbazen als het nog <50Kb kan.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq