Hacker erweitern Fähigkeiten von Rootkits

Laut einem Bericht von IDG News will der Sicherheitsforscher Sebastian Muniz von Core Security Technologies im Mai eine Rootkit-Software für Cisco-Router vorstellen. Während der Konferenz EuSecWest in London wird Muniz über das Konzept referieren, was gleichzeitig die erste öffentliche Präsentation eines Rootkits für Ciscos Router-Betriebssystem IOS wäre.

Muniz erklärte, dass sich sein Rootkit von bisheriger Schadsoftware für Cisco-Router insofern unterscheide, als es auf unterschiedlichen Versionen von IOS funktioniere. Die Software sei nicht in der Lage, selbst in einen Router einzudringen. Nach der Installation könne das Rootkit das Gerät unbemerkt überwachen und kontrollieren. Den Quellcode für sein Rootkit will Muniz nicht veröffentlichen.

Eine ebenfalls neue Methode für Rootkits haben zwei Sicherheitsforscher von Clear Hat Consulting für die Konferenz Black Hat USA 2008 angekündigt, die Anfang August in Las Vegas stattfinden wird. Shawn Embleton und Sherri Parks wollen demonstrieren, wie der System Management Mode (SMM) von Intel-Prozessoren für ein Rootkit missbraucht werden kann.

SMM ist ein Betriebszustand von Prozessoren, der für spezielle Systemereignisse wie Speicherfehler entwickelt wurde und für die Ausführung von Firmware oder Hardware-Debuggern gedacht ist. Die Sicherheitsforscher wollen mit einem Proof of Concept demonstrieren, wie ein Keylogger auf Chipsatzebene mittels SMM installiert werden kann. „Unser Rootkit verbirgt seine Spuren im Speicher, führt keine Änderungen am Betriebsystem durch und ist in der Lage, Daten aus einem Netzwerk zu filtern“, schrieben die beiden Forscher in einer Programmvorschau für Black Hat USA 08. „Dabei umgeht es alle Host-basierten Erkennungssysteme und Firewalls.“