Rootkits für Xen und SMM

Geschrieben von Carsten Eilers am Donnerstag, 5. Mai 2011 um 09:00

Rootkits können nicht nur normale Systeme virtualisieren, sondern auch bereits laufende virtuelle Systeme in eine neue virtuelle Maschine verschieben. Eine weitere Kategorie spezieller Rootkits sind SMM-Rootkits, die sich in Intels System Management Mode und damit außerhalb des Sichtbereichs von Betriebssystem und Virenscanner einnisten.

Blue Bill für Xen

2008 wurde Blue Pill für Xen angepasst, um auch virtualisierte Systeme angreifen zu können. Das Ergebnis präsentierten Joanna Rutkowska, Rafal Wojtczuk und Alexander Tereshkin im Rahmen der "Xen 0wning Trilogy" auf der Black Hat USA 2008.

Im ersten Teil, der von Rafal Wojtczuk unter dem Titel "Subverting the Xen Hypervisor" präsentiert wurde (Material), wurde u.a. gezeigt, wie über DMA Code in den Speicher des Xen Hypervisors eingeschleust und in Xen eine Hintertür eingebaut werden kann. Als Endergebnis wurden zwei Xen Hypervisor Rootkits präsentiert.

Im zweiten Teil, der von Joanna Rutkowska und Rafal Wojtczuk unter dem Titel "Detecting & Preventing the Xen Hypervisor Subversions" präsentiert wurde (Video- und Audio-Aufzeichnung des Vortrags, Material inkl. Sourcecode), wurde das Aushebeln der verschiedenen Sicherheitsmaßnahmen des Xen Hypervisors demonstriert. Zusätzlich wurde ein Angriff auf Intels System Management Mode Handler demonstriert, bei dem ebenfalls ein Rootkit installiert wurde. Danach wurde eine Pufferüberlauf-Schwachstelle im Sicherheitsmodul FLASK ausgenutzt, um den Hypervisor zu kompromittieren. Zum Abschluss wurde das zusammen mit dem BIOS-Hersteller Phoenix Technologies entwickelte Schutzsystem HyperGuard vorgestellt, dass das Einschleusen nicht autorisierten Codes in den Hypervisor verhindern soll.

Im dritten Teil, der von Joanna Rutkowska und Alexander Tereshkin unter dem Titel "Bluepilling the Xen Hypervisor" präsentiert wurde (Video- und Audio-Aufzeichnung des Vortrags, Material inkl. Sourcecode), ging es dann ans sprichwörtliche Eingemachte. Zuerst wurde gezeigt, wie hardwarebasierte Virtualisierung auf AMD-V und VT-x verschachtelt werden kann. Darauf aufbauend wurde Blue Pill Boot entwickelt, dass ein System ab dem Bootvorgang virtualisieren kann. Der beste Schutz vor so einem Angriff ist, oh Wunder, ein vertrauenswürdiger Bootmechanismus wie z.B. Xens tboot. Danach wurde Xen Blue Pill vorgestellt, dass in der Lage ist, das laufende Xen-System in eine neue virtuelle Maschine zu verschieben. Davor schützt auch kein vertrauenswürdiger Bootvorgang, da der beim Angriff bereits abgeschlossen ist. Zum Abschluss wurden die verschiedenen Möglichkeiten zum Erkennen von Xen Blue Pill diskutiert. Da das ursprüngliche System bereits unter einem Hypervisor lief, ist dessen Vorhandensein, selbst wenn es erkannt wird, kein Hinweis auf das Rootkit. Die einzige Möglichkeit, die Virtualisierung des virtualisierten Systems zu erkennen, ist die Analyse der #VMEXIT-Zeiten, um zwischen der ursprünglichen Xen-Virtualisierung und deren Virtualisierung zu unterscheiden.

SMM-Rootkits

Rootkits, die Intels System Management Mode missbrauchen, haben eine ebenso lange Entwicklungsgeschichte wie virtualisierende Rootkits. Der System Management Mode (SMM) ist Bestandteil von Intels x86- und x64-Prozessoren und dafür vorgesehen, z.B. Systemereignisse wie Chipsatz- oder Speicherfehler abzufangen und darauf zu reagieren. Der SMM befindet sich in einem geschützten Speicherbereich, genannt System Management RAM (SMRAM), und wird über einen SMI (System Management Interrupt) angesprochen.

Auf der Sicherheitskonferenz CanSecWest 2006 präsentierten Loïc Duflot, Daniel Etiemble und Olivier Grumelard eine Reihe von Schwachstellen im SMM und demonstrierte das Umgehen der Securelevel-Schutzfunktionen im OpenBSD-Kernel (Präsentation als PPT). Auf SecurityFocus gibt es ein Interview mit Loïc Duflot dazu.

2008 präsentierten Shawn Embleton, Sherri Sparks und Cliff C. Zou auf der "4th International Conference on Security and Privacy in Communication Networks" (SecureComm) ihr Paper "SMM Rootkits: A New Breed of OS Independent Malware" (PDF) und demonstrierten die Möglichkeiten eines SMM-Rootkits mit einem Keylogger und einer Backdoor. Shawn Embleton und Sherri Sparks präsentierten dieses Rootkit auch auf der Black Hat USA 2008 (Material). Ebenfalls 2008 wurde von Joanna Rutkowska und Rafal Wojtczuk ein SMM-Rootkit veröffentlicht (s.o.).

2008 erschien im Phrack Magazin auch ein Artikel über Angriffe auf den SMM, der die 2006 von Loïc Duflot und seinen Mitstreitern vorgestellten Angriffe fortführte und auf Linux übertrug. Zum Artikel gehört auch eine "SMM Manipulation Library" zur einfachen Manipulation der SMRAM-Control-Register. Ein Proof-of-Concept, der die Bibliothek nutzt, friert den Prozessor ein.

Ein weiterer Angriff auf den SMM wurde 2009 von Joanna Rutkowska und Rafal Wojtczuk vorgestellt. (Paper als PDF, Sourcecode als TGZ). Als Proof of Concept wurde das Auslesen des SMRAM und das Ausführen beliebigen Codes darin implementiert.

Die von Joanna Rutkowska und Rafal Wojtczuk ausgenutzte Schwachstelle wurde unabhängig von den beiden auch von Loïc Duflot, Olivier Levillain, Benjamin Morin und Olivier Grumelard entdeckt und auf der CanSecWest 2009 präsentiert (PDF).

Ein Angreifer, der Administrator-Rechte erlangt hat, kann die Schwachstellen ausnutzen, um ein Rootkit im SMRAM unterzubringen und damit Sicherheitsprüfungen auf Kernel-Ebene zu unterlaufen. Außerdem kann darüber ein Hardware-Hypervisor angegriffen werden, da der SMM-Code mit höheren Rechten als der Kernel- ("Ring 0") und Hypervisor-Code ("Ring -1") läuft.

SMM-Rootkits haben, je nach Standpunkt, einen großen Vor- bzw. Nachteil: Sie funktionieren immer nur mit bestimmten Mainboards, da sie auf das Vorhandensein von Schwachstellen angewiesen sind, und ihre Entwicklung bzw. Anpassung ist sehr aufwendig. Daher wurde bisher kein SMM-Rootkit "in the wild" entdeckt, es gibt lediglich die veröffentlichten Proof-of-Concepts. Und sehr wahrscheinlich werden SMM-Rootkits auch nie für Massenangriffe eingesetzt werden. Wenn überhaupt, dürften sie im Rahmen gezielter Angriffe zum Einsatz kommen.

Auch in der nächsten Folge geht es um Rootkits: Im BIOS, in PCI-Karten und mehr.

Carsten Eilers