Hat Code aus einem präparierten Dokument erst einmal weitere Schädlinge nachgeladen, dann nützt keine Antiviren-Software. Wenn die Malware etwa als virtuelles Rootkit implementiert wurde, ist sie praktisch nicht mehr zu entdecken. Ein solches Rootkit ist nicht einfach herzustellen, aber wer es schafft, eine Speicherarithmetiklücke „produktiv“ auszunutzen, für den ist auch ein virtuelles Rootkit kein Problem.
Ein virtuelles Rootkit nutzt die Hardwarevirtualisierungsunterstützung von modernen Prozessoren aus. Es macht sich die Tatsache zu Nutze, dass es mit diesen Prozessoren möglich ist, auch im Ring 0 bestimmte Befehle abzufangen. Dazu zählen I/O-Befehle. Damit wird dem Kernel des Betriebssystems vorgegaukelt, dass eine bestimmte Hardware im System vorhanden sei, obwohl das nicht der Fall ist.
Eine Virtualisierungslösung wie VMware Workstation benötigt dieses Feature, um etwa mehrere virtuelle Grafikkarten zu emulieren. Eine Malware wartet dabei nur ab, bis der Kernel per Plug-and-Play die vermeintliche Hardware erkennt und einen Treiber mit I/O-Befehlen lädt. Beim ersten I/O-Befehl übergibt der Kernel die Kontrolle an die Malware.
Da der Schädling im Kernel-Mode läuft, muss er nur ein wenig an den Pagetables oder am Global Descriptor Table (GDT) herumspielen, um sich selbst so zu verstecken, dass ihn der Kernel nicht mehr findet. Der Rest ist vor allem Fleißarbeit. So muss die Malware etwa dafür sorgen, dass sie sich an der richtigen Stelle im Dateisystemtreiber einklinkt, damit das Verzeichnis mit beliebigen weiteren Schädlingen nicht mehr entdeckt wird. So können Teile von Festplatte und Hauptspeicher vollständig vor dem Betriebssystem verborgen werden.
Auch verhaltensbasierte Antiviren-Software oder eine Firewall hilft dann nicht mehr weiter. Für diese Komponenten existiert erst gar nichts, was auf verdächtiges Verhalten untersucht werden könnte.
Die Hackerin Joanna Rutkowska hat ein solches virtuelles Rootkit bereits 2006 vorgestellt. Ihr Prototyp The Blue Pill war in der Lage sich auf AMD-Prozessoren mit AMD-V (Pacifica) so zu verstecken, dass er nicht entdeckt werden konnte. Der Prototyp unterstützte bereits „nested Hypervisors“. So ist es möglich, sich auch vor Bare-Metal-Hypervisor wie VMware ESX zu verstecken. Mit Intels VT-x-Technologie lässt sich dasselbe realisieren. Die notwendige Anleitung, um eine solche Malware zu erstellen, gibt es bei Intel und AMD.
Die einzige Möglichkeit, ein solches Rootkit zu entdecken, ist das Booten eines Rechners von einem garantiert unverseuchten Read-Only-Medium und ein vollständiger Scan der Festplatte. Theoretisch könnte sich ein virtuelles Rootkit allerdings auch in einem flashbaren BIOS verstecken. Das würde auch ein Booten von einer unverseuchten CD oder DVD aushebeln.
Die Technologie des virtuellen Rootkits ist bereits seit vier Jahren bekannt. Wer professionell Regierungen, Bürgerrechtler und Wirtschaftsunternehmen ausspioniert, wird sicherlich über diese oder eine andere Technologie verfügen, die die kommerziellen Schutzprogramme und Security-Appliances jeder Art aushebeln.
- Aurora: Angriff mit IE-Exploit aus China auf Google und den Rest der Welt
- Bisher unbekannte Professionalität und Dreistigkeit
- Operation Aurora: technisch eine Meisterleistung
- Ohne Helfer im angegriffenen Unternehmen keine Chance für Aurora
- Geschickt programmierte Malware bleibt unentdeckt
- Laptop-Mikrofone als Wanze
- Wissensvorsprung professioneller Hacker steigt dramatisch
Neueste Kommentare
9 Kommentare zu Aurora: Angriff mit IE-Exploit aus China auf Google und den Rest der Welt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Quark
„Dass hinter dem Angriff die chinesische Regierung steckt, bezweifelt inzwischen niemand mehr. Sowohl Google als auch iDefense, eine Tochter von Verisign, haben die Ausgangs-IP-Adressen rückverfolgen können. Hinzu kommt, dass bei ausschließlichem Interesse an Wirtschaftsspionage nicht davon auszugehen ist, dass sich der Angreifer ausgerechnet für die Googlemail-Konten zweier Menschenrechtler in China näher interessiert. “
Klar, nach einer George W. Bush – Logik ist es damit bewiesen… So exzellent die Entwickler auch sein mögen, dass man ihre IP’s rückverfolgen würde, sind sie natürlich nicht gekommen. Ich frage mich auch, woher Google weiß, welche Googlemail-Konten welchen Menschenrechtlern gehören.
Ich sage nicht, dass es nicht die chinesische Regierung sein könnte… aber an Beweisen dafür findet sich hier nur jede Menge Quark.
Interessant zu lesen
und vorallem öffnet es einem Teil die Augen. Doch die wirklichen Entscheidungsträger erreichen solche Meldungen nicht bzw. zu spät.
Klar kann ich verstehen, das es in großen Unternehmen schwierig ist, Sicherheitsrichtlinien und Schutzmechanismen bis in die kleinste Provinzniederlassung zu tragen. Ich bin mir aber ziemlich sicher. Wenn nicht jeder sein eigenes Süppchen kochen würde und es gewisse Standards geben würde, dann hätten wir einige Probleme weniger. Und wenn Microsoft sich zu verschiedenen Themen etwas öffnen würde, dann erst recht.
Den Usern ist es nicht zu verübeln. Woher sollen Sie wissen, welche Bits und Bytes gut und böse sind? Kennen doch die wenigsten die Tiefen Ihres Betriebssystems, welches oftmals mit „W“ beginnt und mit „s“ endet. Assistenten übernehmen doch viele Konfigurationen und denken nicht an Ecken, an die findige Programmierer denken.
In diesem Sinne. Jeder ist seines Glückes Schmied. Der beste Schutz ist offline bleiben und mit niemanden reden. ;)
Wirklich gut gemacht
werde doch noch zum zdnet leser – hier scheint die qualität zu stimmen :-)
Klasse Artikel!
Vielen Dank für diesen extrem Interessanten Artikel! Wenn man über das alles mal genauer nachdenkt, bekomme ich richtig Bauchschmerzen. Die Chinesen erhaken sich quasi Know-How und Staatsgeheimnisse und alle sind dagegen vollkommen machtlos! Vor allem ist das für einen Security Hersteller wie Symantec ein Armutszeugnis. Die fangen sich Chinesische Malware ein, ohne es zu bemerken ;(
Exzellenter Artikel
Ein exzellenter Artikel, der auch die leeren Sicherheitsversprechen vieler Hersteller von Anti-Malware-Tools offenlegt.
Weiter so!
Vielen Dank
Als technischer Laie ist es schwer die vielen Fachbegriffe zu verarbeiten. Vielen Dank für die aiufklärende und einfach Sprache dieses sehr komplex und erscheinenenden und garantiert bedrohlichen Sachverhaltes.
Unerfahrenheit vieler Anwender
>> … "In der Regel reicht es aus, die Unerfahrenheit vieler Anwender auszunutzen."
Firmen, die mit sensiblen Daten arbeiten, haben ‚in der Regel‘ keine unerfahrenen Anwender.
Ansonsten ein guter Artikel, vieln Dank!
AW: Unerfahrenheit vieler Anwender
DA wäre ich mir nicht so sicher. Jede Wirtschaftsprüfungsgesellschaft verarbeitet extrem vertrauliche Daten … das heißt aber noch lange nicht, daß dort nur IT-Profis rumlaufen, die nicht auch ein Plugin installieren würden. :-(
AW: Unerfahrenheit vieler Anwender
Da muss ich WP leider beipflichten.
Nach meiner Erfahrung (30 Jahre IT) wird IT-Sicherheit in nur sehr wenigen Firmen konsequent durchgezogen.
Ich habe es immer wieder erlebt, dass Mitarbeiter ihre eigenen Notebooks mitgebracht haben oder dass der Admin zugab, dass es einige Geräte im Netzwerk gibt, die zwar per DHCP eine IP haben, die er aber nicht kennt oder weiß, wo die stehen.
IMHO gehen zu viele Admins den einfachen Weg. Je weniger die Mitarbeiter Helpdesk anrufen, desto bequemer.
Dass mancher Sicherheitsbeauftragter als persönlich haftend mit einem Bein im Gefängnis steht ist den wenigsten klar.
Dies wird auch dadurch unterstützt, dass diesbezügliche Sicherheitsrichtlinien nicht kommuniziert werden oder mit Kunden Teilvereinbarungen getroffen werden, die weder von der IT-Compliance noch von den technischen Möglichkeiten des Unternehmens gedeckt werden.
Beste Grüße
schulte