I ricercatori di Microsoft Research e della University of Michigan hanno collaborato alla creazione di alcuni prototipi di rootkits basati su macchina virtuale, nuova tattica di camuffamento per guadagnare il controllo di un sistema attaccato. Il rootkit proof-of-concept, chiamato SubVirt, sfrutta alcune vulnerabilità e crea un VMM (virtual machine monitor) nelle installazioni Windows o Linux.
Quando il sistema operativo preso di mira viene elevato in una virtual machine, non è più capace di rilevare il rootkit dato che il suo stato lo protegge dai software di sicurezza in esecuzione sul sistema (ora guest). Il prototipo, che sarà presentato durante il prossimo IEEE Symposium su Sicurezza e Privacy a fine Maggio, è stato concepito dal Microsoft Cybersecurity and Systems Management Research Group, la divisione di Redmond che ha sviluppato lo scanner anti-rootkit Strider GhostBuster e il sistema di rilevamento exploit Strider HoneyMonkey.
Attualmente, i tools di pulizia anti-rootkit confrontano le discrepanze nei registri e nella API del file system per verificare la presenza di rootkits user-mode o kernel-mode. Tuttavia questa tattica è inutile se il rootkit salva il codice malware in una locazione impossibile da analizzare.
Continua qui
Quando il sistema operativo preso di mira viene elevato in una virtual machine, non è più capace di rilevare il rootkit dato che il suo stato lo protegge dai software di sicurezza in esecuzione sul sistema (ora guest). Il prototipo, che sarà presentato durante il prossimo IEEE Symposium su Sicurezza e Privacy a fine Maggio, è stato concepito dal Microsoft Cybersecurity and Systems Management Research Group, la divisione di Redmond che ha sviluppato lo scanner anti-rootkit Strider GhostBuster e il sistema di rilevamento exploit Strider HoneyMonkey.
Attualmente, i tools di pulizia anti-rootkit confrontano le discrepanze nei registri e nella API del file system per verificare la presenza di rootkits user-mode o kernel-mode. Tuttavia questa tattica è inutile se il rootkit salva il codice malware in una locazione impossibile da analizzare.
Continua qui