Neues Versteck: Rootkit findet im Prozessor Unterschlupf

SicherheitSicherheitsmanagementVirus

Auf der Black Hat Conference im August in Las Vegas wollen zwei Sicherheitsexperten ein neuartiges Rootkit vorstellen, das sich noch besser tarnt als seine Artgenossen.

Das von Shawn Embleton und Sherri Sparks von Clear Hat Consulting entwickelte System Management Mode (SMM) Rootkit soll noch besser getarnt sein als Rootkits, die sich per Virtualisierung verstecken. Der neue Schädling nutzt den System Management Mode von Intels x86-Prozessoren. Dieser ist eigentlich dafür gedacht, dass Hardware-Hersteller Systemprobleme beheben können und bietet einen eigenen isolierten Speicher und eine Umgebung, um Programme auszuführen. Dort abgelegter Code ist für das Betriebssystem unsichtbar und hat Zugriff auf die komplette Hardware des Systemes, inklusive der Peripherie-Geräte. Es ist allerdings nicht ganz leicht, ein solches Rootkit zu entwickeln, da es direkt auf die Hardware aufsetzt und der Code speziell für das zu attackierende System angepasst werden muss. Embleton und Sparks haben als Prototypen einen Keylogger entwickelt, den sie auf der Black Hat Conference präsentieren werden. (dd)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen