Ferenc, Olívia
-2 °C
4 °C

Virtuális oprendszert futtat a rootkit

2006.03.17. 10:45
Az amerikai kutatók által, szemléltetés céljából kifejlesztett SubVirt képes a jelenlétét tökéletesen álcázni, miközben átalakítja a futó operációs rendszert.

A Michigan egyetem kutatói saját fejlesztésükkel bizonyítják, hogy közeledik a rootkit programok újabb, még veszélyesebb generációja. Az eljárás működőképességét igazoló SubVirt program különleges képessége, hogy virtuálizáló eljárásokat alkalmaz.

Mit tud a rootkit?

A rootkit (hevenyészett fordításban: adminisztrátori felszerelés) olyan szoftveres eszközök gyűjteménye, amelyeket a számítógépre való betörést követően telepítenek. A feladatuk az, hogy a feltört rendszeren elrejtsék a behatoló minden további belépését, illetve a becsempészett fájlokat és az illegális programfolyamatokat.

A kifejezés ma már nem korlátozódik az Unix-alapú rendszerekre, mivel rootkitek már Windowsra is készültek. A rootkit rejtőzési funkciójára mindenekelőtt a vele párhuzamosan futó antivírus alkalmazás miatt van szükség. Így a támadó illetve a programjai a leleplezés veszélye nélkül tevékenykedhetnek.

A kutatók munkáját az Intel és a Microsoft is támogatta, de nem azért, hogy újabb digitális kórokozókat szabadítsanak a világra, hanem mert jobban meg szeretnék érteni, hogy a támadóknak milyen eszközökre van szükségük. A SubVirt lényege, hogy a jelenlétét tökéletesen álcázza és nyomtalanul alakítja át a futó operációs rendszert. Jelenleg Windows XP és Linux alatt futtatható.

Belülről minden rendben

Sikeres település esetén a SubVirt manipulálja a rendszerbetöltést, létrehoz egy virtuális számítógépet, és azon futtatja az eredeti operációs rendszer klónját. Tapasztalatlan felhasználók egyáltalán nem veszik észre a változást. Windows alatt a Virtual PC, Linux alatt a VMWare nevű szoftvert használták a kutatók, de az operációs rendszeren belüli virtualizáló eljárások elterjedésével az ilyen virtuális gépen alapuló rootkitek (Virtual-Machine Based Rootkit, VMBR) alkalmazása jóval egyszerűbbé válhat.

A virtualizáció lényege, hogy egyetlen hardveren több operációs rendszer futhat, a SubVirt esetében ez az eredeti oprendszer és annak kicsinosított klónja. Mivel a módosított operációs rendszer szintje alatt fut, rejtve befolyásolhatja annak működését. Az, hogy ki ellenőrzi a rendszer mélyebb rétegeit, alapvető előnyt jelent a számítógépes támadók és a védelem közti harcban, állapították meg a kutatók.

Csak papíron mutatják meg

A SubVirt a gyakorlati képességei bizonyítására potencionálisan kártékony programokat indít el. Betölt többek közt adathalászó (phising) webszervert, billentyűleütéseket jegyzetelő keyloggert, illetve kiiktatja a jelen lévő tűzfalat és a vírusvédelmet.

A jelenlegi rootkit-irtók a rendszerleíró adatbázis (registry) és a fájlrendszer között mutatkozó különbségeket, hogy kimutassák a felhasználói vagy admin jogú rootkitek jelenlétét. Ez az eljárás viszont haszontalanná válik, ha az ártó program a rootkitet nem ellenőrizhető helyen tárolja, jegyzi meg az eWeek.

A SubVirt hivatalos bemutatója a villamos- és elektronikai mérnökök Intézete (IEEE) biztonsági és adatvédelmi szimpóziumán, 2006 májusában lesz. Jelenleg csupán egyetlen PDF-dokumentum ismerteti a működési elvét.

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Értékeljen, nyerjen!

Van kedvenc légitársasága? Írja meg véleményét itt!