Rootkity maszyn wirtualnych – nowe zagrożenie?
2006-03-16 17:35; Hacking; Ľródło: cc-team.org
Specjali¶ci z laboratoriów Microsoft Research, wspólnie z pracownikami University of Michigan, stworzyli prototyp nowego rootkita, którego wykrycie jest niezwykle trudne.Prototyp o nazwie SubVirt wykorzystuje luki w systemach operacyjnych i instaluje na zaatakowanych komputerach monitor maszyny wirtualnej (VMM). Rootkit działa na systemach Windows i Linux.
Po zainstalowaniu VMM SubVirt staje się niemożliwy do wykrycia, gdyż oprogramowanie antywirusowe nie ma dostępu do maszyny wirtulanej. SubVirta przetestowano zarówno na maszynach linuksowych jak i windosowych. Okazało się, że po zarażeniu cyberprzestępcy mogliby wprowadzać do komputera kolejne porcje szkodliwego kodu, nie obawiaj±c się wykrycia. "Każdy kod uruchamiany na zaatakowanym OS-ie jest niewidoczny. Daje to intruzowi całkowit± swobodę" – napisali badacze.
Zagrożenie ze strony rootkitów wykorzystuj±cych VMM jest na tyle realne, że jedne z autorów SubVirta przez jaki¶ czas wykorzystywała komputer, o którym nie wiedział, że jest on zarażony prototypowym rootkitem.
Po zainstalowaniu VMM SubVirt staje się niemożliwy do wykrycia, gdyż oprogramowanie antywirusowe nie ma dostępu do maszyny wirtulanej. SubVirta przetestowano zarówno na maszynach linuksowych jak i windosowych. Okazało się, że po zarażeniu cyberprzestępcy mogliby wprowadzać do komputera kolejne porcje szkodliwego kodu, nie obawiaj±c się wykrycia. "Każdy kod uruchamiany na zaatakowanym OS-ie jest niewidoczny. Daje to intruzowi całkowit± swobodę" – napisali badacze.
Zagrożenie ze strony rootkitów wykorzystuj±cych VMM jest na tyle realne, że jedne z autorów SubVirta przez jaki¶ czas wykorzystywała komputer, o którym nie wiedział, że jest on zarażony prototypowym rootkitem.
