Virtualisierung setzt sich immer weiter durch: nicht nur als Werkzeug zur IT-Konsolidierung, sondern auch in den neuen Prozessorgenerationen von Intel und AMD. Öffnet sich damit ein weiteres Einfallstor für neuartige Malware?
Es ist fast eine Gesetzmäßigkeit: Jede neue Möglichkeit, die mittels Informationstechnologie geschaffen wird, nutzen früher oder später Personen mit unlauteren Absichten für ihre Zwecke aus. Bei der gerade sehr modernen Virtualisierung ist das nicht anders. Die russische IT-Security-Spezialistin Joanna Rutkowska[1] hatte bereits 2006 mit ihrem Rootkit Blue Pill diesbezüglich für Aufsehen gesorgt[2]: Es verbirgt sich in einer Virtualisierung von Windows Vista [3].
Solche Virtual Machine Based Rootkits verschieben ein vorhandenes Betriebssystem in eine virtuelle Umgebung. Das Betriebssystem merkt nichts davon und kann zwischen realer und virtueller Umgebung nicht unterscheiden. Vergleichbar wäre das mit der Situation der Menschen in der Filmtrilogie Matrix – was auch der Grund für Rutkowska war, ihrem Projekt den Namen Blue Pill Project zu geben.
Rutkowska behauptet, mit einer solchen Virtualisierung lasse sich Schadcode entwickeln, der innerhalb der virtuellen Umgebung nicht mehr erkennbar ist. Stimmt das, wären die Möglichkeiten erschreckend: Der Hypervisor könnte dann, ohne eine Entdeckung zu befürchten zu müssen, das innen laufende System kontrollieren, Tastatureingaben überwachen und sogar den Netzwerkverkehr filtern. Eingeschleust würde so ein Virtual Machine Based Rootkit über die Virtualisierungsfunktionen des Prozessors.
Der Aufwand dafür war bisher recht hoch, die Zahl der Rechner mit den neuen, von Haus aus virtualisierten Prozessoren vergleichsweise gering, und Cyberkriminellen standen bisher ausreichen andere, wesentlich einfachere, aber ebenfalls effektive Methoden zur Verfügung, um ihre Ziele zu erreichen. Solche Konzepte waren daher nicht viel mehr als nette technische Spielereien und Anlass zu gelehrter Diskussion in Expertenkreisen. Das aber könnte sich noch dieses Jahr ändern, wie Ralf Benzmüller, Leiter der G-Data[4]-Security-Labs, befürchtet.
ZDNet: Bisher nutzen die "Guten" virtuelle Maschinen intensiv, um Malware aufzuspüren. Das ändert sich gerade.
Benzmüller: Ja, und zwar grundlegend. Wir setzen sehr viele virtuelle Maschinen ein, um nach Malware zu suchen, machen das aber inzwischen nicht mehr. Der Grund dafür ist einfach, dass immer mehr Malware prüft, ob sie in einer virtuellen Umgebung läuft. Ist dies der Fall, wird sie gar nicht ausgeführt. Dieses Verhalten soll dafür sorgen, dass sie länger unentdeckt bleibt.
ZDNet: Also ist es derzeit vorteilhaft, wenn in einem Unternehmen viele Rechner virtualisiert sind, weil sich dadurch die Gefahr einer Attacke verringert?
Benzmüller: Zur Zeit ist das noch so. Gegen ganz bestimmte Arten von Malware lässt sich mit durchgehend virtualisierten Infrastrukturen ein recht guter Schutz aufbauen. Außerdem bringt Virtualisierung einige Funktionen mit, die für mehr Sicherheit sorgen. So lassen sich beispielsweise bei Vmware unterschiedliche Wiederherstellungspunkte setzen. Dadurch kann zum Beispiel nach dem Surfen der Rechner automatisiert wieder auf einen Standard zurückgesetzt werden. Veränderungen, die etwa durch ein Schadprogramm vorgenommen worden sind, werden dadurch ungeschehen gemacht.
ZDNet: Das klingt zunächst verlockend. Gibt es keine Nachteile?
Benzmüller: Kaum. Einer ist, dass dabei auch Virensignaturen wieder zurückgesetzt würden. Das lässt sich aber lösen, indem diese in einem speziellen Verzeichnis gespeichert werden, das nicht zurückgesetzt wird.
ZDNet: Welche Alternativen zu virtuellen Maschinen gibt es, um die neuen Malwaregenerationen aufzuspüren?
Benzmüller: Eine gute Alternative ist das Sandbox-Konzept, wie es etwa bei Vista zum Betriebssystem dazugehört. Damit wird ein eigener Raum für Anwendungen geschaffen, in dem diese sozusagen einen Probelauf machen. Wird dabei schädlicher Code festgestellt, kann ihm der Zugriff auf das echte System verweigert werden.
ZDNet: Ist das nicht recht aufwändig?
Benzmüller: Es gibt zwar Einbußen bei der Performance des Rechners, sie sind aber so gering, dass sie sich zwar messen lasen, aber vom Anwender in der Regel nicht bemerkt werden.
ZDNet: Dann bringt Virtualisierung bisher eigentlich nur Vorteile.
Benzmüller: Bisher ja. Es existiert aber ein Proof-of-concept, dass sich Virtualisierungsfunktionen auch missbrauchen lassen. Anhand der Malware, die virtuelle Maschinen anhand von Hardware oder Timestamps erkennt, sehen wir, dass sich Hacker mit dem Thema beschäftigen. Die Zahl der Rechner, die mit Prozessoren der neueren Generationen ausgestattet sind , bei denen Virtualisierung von Haus aus integriert ist, steigt kontinuierlich. Aus der Erfahrung der G-Data-Security-Labs bei der Beobachtung früher neu aufgetretener Bedrohungen schließen wir, dass es nicht mehr lange dauert, bis die ersten ernsthaften Probleme mit Malware auftreten, die sich Eigenschaften der Virtualisierung zunutze macht. Ich denke sogar, das wird noch dieses Jahr passieren.
 |
| Ralf Benzmüller, Leiter der G-Data-Security-Labs: "Wir sehen, dass sich Hacker mit dem Thema beschäftigen". |
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/