Rootkits für Xen und SMM
Rootkits können nicht nur normale Systeme
virtualisieren,
sondern auch bereits laufende virtuelle Systeme in eine neue virtuelle
Maschine verschieben. Eine weitere Kategorie spezieller Rootkits sind
SMM-Rootkits, die sich in Intels
System Management Mode
und damit außerhalb des Sichtbereichs von Betriebssystem und Virenscanner
einnisten.
Blue Bill für Xen
2008 wurde Blue Pill für Xen angepasst, um auch virtualisierte
Systeme angreifen zu können. Das Ergebnis präsentierten
Joanna Rutkowska, Rafal Wojtczuk und Alexander Tereshkin im Rahmen der
“Xen 0wning Trilogy”
auf der Black Hat USA 2008.
Im ersten Teil, der von Rafal Wojtczuk unter dem Titel
“Subverting the Xen Hypervisor”
präsentiert wurde
(Material),
wurde u.a. gezeigt, wie über DMA Code in den Speicher des Xen
Hypervisors eingeschleust und in Xen eine Hintertür eingebaut werden
kann. Als Endergebnis wurden zwei Xen Hypervisor Rootkits
präsentiert.
Im zweiten Teil, der von Joanna Rutkowska und Rafal Wojtczuk unter dem Titel
“Detecting & Preventing the Xen Hypervisor Subversions”
präsentiert wurde
(Video- und Audio-Aufzeichnung
des Vortrags,
Material
inkl. Sourcecode), wurde das Aushebeln der verschiedenen
Sicherheitsmaßnahmen des Xen Hypervisors demonstriert.
Zusätzlich wurde ein Angriff auf Intels System Management Mode Handler
demonstriert, bei dem ebenfalls ein Rootkit installiert wurde. Danach
wurde eine Pufferüberlauf-Schwachstelle im Sicherheitsmodul FLASK
ausgenutzt, um den Hypervisor zu kompromittieren. Zum Abschluss wurde das
zusammen mit dem BIOS-Hersteller Phoenix Technologies entwickelte
Schutzsystem HyperGuard vorgestellt, dass das Einschleusen nicht
autorisierten Codes in den Hypervisor verhindern soll.
Im dritten Teil, der von Joanna Rutkowska und Alexander Tereshkin
unter dem Titel
“Bluepilling the Xen Hypervisor”
präsentiert wurde
(Video- und Audio-Aufzeichnung
des Vortrags,
Material
inkl. Sourcecode), ging es dann ans sprichwörtliche Eingemachte.
Zuerst wurde gezeigt, wie hardwarebasierte Virtualisierung auf AMD-V und
VT-x verschachtelt werden kann. Darauf aufbauend wurde Blue Pill Boot
entwickelt, dass ein System ab dem Bootvorgang virtualisieren kann. Der
beste Schutz vor so einem Angriff ist, oh Wunder, ein
vertrauenswürdiger Bootmechanismus wie z.B. Xens tboot. Danach wurde
Xen Blue Pill vorgestellt, dass in der Lage ist, das laufende Xen-System in
eine neue virtuelle Maschine zu verschieben. Davor schützt auch kein
vertrauenswürdiger Bootvorgang, da der beim Angriff bereits
abgeschlossen ist. Zum Abschluss wurden die verschiedenen
Möglichkeiten zum Erkennen von Xen Blue Pill diskutiert. Da das
ursprüngliche System bereits unter einem Hypervisor lief, ist dessen
Vorhandensein, selbst wenn es erkannt wird, kein Hinweis auf das Rootkit.
Die einzige Möglichkeit, die Virtualisierung des virtualisierten
Systems zu erkennen, ist die Analyse der #VMEXIT-Zeiten, um zwischen der
ursprünglichen Xen-Virtualisierung und deren Virtualisierung zu
unterscheiden.
SMM-Rootkits
Rootkits, die Intels System Management Mode missbrauchen, haben eine
ebenso lange Entwicklungsgeschichte wie virtualisierende Rootkits. Der
System Management Mode
(SMM) ist Bestandteil von Intels x86- und x64-Prozessoren und dafür
vorgesehen, z.B. Systemereignisse wie Chipsatz- oder Speicherfehler
abzufangen und darauf zu reagieren. Der SMM befindet sich in einem
geschützten Speicherbereich, genannt System Management RAM (SMRAM),
und wird über einen SMI (System Management Interrupt) angesprochen.
Auf der Sicherheitskonferenz
CanSecWest 2006
präsentierten Loïc Duflot, Daniel Etiemble und Olivier Grumelard
eine Reihe von Schwachstellen im SMM und demonstrierte das Umgehen der
Securelevel-Schutzfunktionen im OpenBSD-Kernel (Präsentation als
PPT).
Auf SecurityFocus gibt es ein
Interview
mit Loïc Duflot dazu.
2008 präsentierten Shawn Embleton, Sherri Sparks und Cliff C. Zou auf der
“4th International Conference on Security and Privacy in Communication
Networks” (SecureComm) ihr Paper “SMM Rootkits: A New Breed of OS
Independent Malware”
(PDF)
und demonstrierten die Möglichkeiten eines SMM-Rootkits mit einem
Keylogger und einer Backdoor. Shawn Embleton und Sherri Sparks
präsentierten
dieses Rootkit auch auf der Black Hat USA 2008
(Material).
Ebenfalls 2008 wurde von Joanna Rutkowska und Rafal Wojtczuk ein
SMM-Rootkit veröffentlicht (s.o.).
2008 erschien im Phrack Magazin auch ein
Artikel
über Angriffe auf den SMM, der die 2006 von Loïc Duflot und seinen
Mitstreitern vorgestellten Angriffe fortführte und auf Linux übertrug. Zum
Artikel gehört auch eine “SMM Manipulation Library” zur einfachen
Manipulation der SMRAM-Control-Register. Ein Proof-of-Concept, der die
Bibliothek nutzt, friert den Prozessor ein.
Ein weiterer Angriff auf den SMM wurde 2009 von Joanna Rutkowska und Rafal
Wojtczuk
vorgestellt.
(Paper als
PDF,
Sourcecode als
TGZ).
Als Proof of Concept wurde das Auslesen des SMRAM und das Ausführen
beliebigen Codes darin implementiert.
Die von Joanna Rutkowska und Rafal Wojtczuk ausgenutzte Schwachstelle wurde
unabhängig
von den beiden auch von Loïc Duflot, Olivier Levillain, Benjamin
Morin und Olivier Grumelard entdeckt und auf der CanSecWest 2009
präsentiert
(PDF).
Ein Angreifer, der Administrator-Rechte erlangt hat, kann die
Schwachstellen ausnutzen, um ein Rootkit im SMRAM unterzubringen und damit
Sicherheitsprüfungen auf Kernel-Ebene zu unterlaufen. Außerdem kann
darüber ein Hardware-Hypervisor angegriffen werden, da der SMM-Code mit
höheren Rechten als der Kernel- (“Ring 0”) und Hypervisor-Code (“Ring -1”)
läuft.
SMM-Rootkits haben, je nach Standpunkt, einen großen Vor- bzw.
Nachteil: Sie funktionieren immer nur mit bestimmten Mainboards, da sie auf
das Vorhandensein von Schwachstellen angewiesen sind, und ihre Entwicklung
bzw. Anpassung ist sehr aufwendig. Daher wurde bisher kein SMM-Rootkit “in
the wild” entdeckt, es gibt lediglich die veröffentlichten
Proof-of-Concepts. Und sehr wahrscheinlich werden SMM-Rootkits auch nie
für Massenangriffe eingesetzt werden. Wenn überhaupt,
dürften sie im Rahmen gezielter Angriffe zum Einsatz kommen.
Auch in der
nächsten Folge
geht es um Rootkits: Im BIOS, in PCI-Karten und mehr.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware – Der Spion in Ihrem Computer
- Viren – Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer – Schadsoftware, die sich selbst verbreitet
- Trojaner – Der Feind im harmlosen Programm
- Zeus – Trojaner, Botnet, Schädlingsbaukasten, …
- Exploit-Kits – Die Grundlage für Drive-by-Infektionen
- Rootkits
-
- Rootkits – Schadsoftware im System
- Rootkits gegen Festplattenverschlüsselung und für BSoD
- TDL4 – Gefährliches Botnet oder nur eine neue Sau im digitalen Dorf?
- SubVirt und Blue Pill – Rootkits mit Virtualisierung
- Rootkits für Xen und SMM
- Rootkits (fast) in der Hardware
- Rootkits für Smartphones und Mac OS X
- Remote Administration Toolkits – Fernwartung in der Grauzone
- Botnets – Zombie-Plagen im Internet
- Schadsoftware – Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Keine Trackbacks
Kommentar schreiben
Kommentare
Ansicht der Kommentare:
Linear | Verschachtelt