Aurora: Angriff mit IE-Exploit aus China auf Google und den Rest der Welt

Hat Code aus einem präparierten Dokument erst einmal weitere Schädlinge nachgeladen, dann nützt keine Antiviren-Software. Wenn die Malware etwa als virtuelles Rootkit implementiert wurde, ist sie praktisch nicht mehr zu entdecken. Ein solches Rootkit ist nicht einfach herzustellen, aber wer es schafft, eine Speicherarithmetiklücke „produktiv“ auszunutzen, für den ist auch ein virtuelles Rootkit kein Problem.

Ein virtuelles Rootkit nutzt die Hardwarevirtualisierungsunterstützung von modernen Prozessoren aus. Es macht sich die Tatsache zu Nutze, dass es mit diesen Prozessoren möglich ist, auch im Ring 0 bestimmte Befehle abzufangen. Dazu zählen I/O-Befehle. Damit wird dem Kernel des Betriebssystems vorgegaukelt, dass eine bestimmte Hardware im System vorhanden sei, obwohl das nicht der Fall ist.

Eine Virtualisierungslösung wie VMware Workstation benötigt dieses Feature, um etwa mehrere virtuelle Grafikkarten zu emulieren. Eine Malware wartet dabei nur ab, bis der Kernel per Plug-and-Play die vermeintliche Hardware erkennt und einen Treiber mit I/O-Befehlen lädt. Beim ersten I/O-Befehl übergibt der Kernel die Kontrolle an die Malware.

Da der Schädling im Kernel-Mode läuft, muss er nur ein wenig an den Pagetables oder am Global Descriptor Table (GDT) herumspielen, um sich selbst so zu verstecken, dass ihn der Kernel nicht mehr findet. Der Rest ist vor allem Fleißarbeit. So muss die Malware etwa dafür sorgen, dass sie sich an der richtigen Stelle im Dateisystemtreiber einklinkt, damit das Verzeichnis mit beliebigen weiteren Schädlingen nicht mehr entdeckt wird. So können Teile von Festplatte und Hauptspeicher vollständig vor dem Betriebssystem verborgen werden.

Auch verhaltensbasierte Antiviren-Software oder eine Firewall hilft dann nicht mehr weiter. Für diese Komponenten existiert erst gar nichts, was auf verdächtiges Verhalten untersucht werden könnte.

Die Hackerin Joanna Rutkowska hat ein solches virtuelles Rootkit bereits 2006 vorgestellt. Ihr Prototyp The Blue Pill war in der Lage sich auf AMD-Prozessoren mit AMD-V (Pacifica) so zu verstecken, dass er nicht entdeckt werden konnte. Der Prototyp unterstützte bereits „nested Hypervisors“. So ist es möglich, sich auch vor Bare-Metal-Hypervisor wie VMware ESX zu verstecken. Mit Intels VT-x-Technologie lässt sich dasselbe realisieren. Die notwendige Anleitung, um eine solche Malware zu erstellen, gibt es bei Intel und AMD.

Die einzige Möglichkeit, ein solches Rootkit zu entdecken, ist das Booten eines Rechners von einem garantiert unverseuchten Read-Only-Medium und ein vollständiger Scan der Festplatte. Theoretisch könnte sich ein virtuelles Rootkit allerdings auch in einem flashbaren BIOS verstecken. Das würde auch ein Booten von einer unverseuchten CD oder DVD aushebeln.

Die Technologie des virtuellen Rootkits ist bereits seit vier Jahren bekannt. Wer professionell Regierungen, Bürgerrechtler und Wirtschaftsunternehmen ausspioniert, wird sicherlich über diese oder eine andere Technologie verfügen, die die kommerziellen Schutzprogramme und Security-Appliances jeder Art aushebeln.