Neue Rootkit-Spezies entwickelt

Die von den Security-Experten Sherri Sparks und Shawn Embleton kreierte neue Rootkit-Spezies basiert auf dem System Management Mode (SMM) von Intel-Prozessoren. Dieser liefert eine isolierte Speicher- und Ausführungsumgebung. Den Forschern zufolge ist SMM-Code für Betriebssysteme unsichtbar, garantiert aber ungehinderten Zugriff auf den physischen Speicher des Hosts sowie eine vollständige Kontrolle der jeweiligen Hardware-Peripherie. Auf der im August 2008 stattfindenden amerikanischen Sicherheitskonferenz Black Hat wollen Sparks und Embleton erstmals ein Proof-of-Concept-SMM-Rootkit präsentieren. Dieses dient als Keylogger auf Chipsatzebene, der das Host-Betriebssystem nicht modifiziert und jegliche Spuren versteckt. Ausserdem ist das neue Rootkit in der Lage, unbemerkt sensible Information aus dem Netz abzusaugen. Dabei soll es sämtliche Host-basierten Instrusion-Detection-Systeme (IDS) und Firewall umgehen. Ein SMM-Rootkit kann zwar leichter versteckt werden, jedoch müssen Angreifer den Schadcode speziell für das jeweils anvisierte Opfersystem schreiben. Aus diesem Grund sehen die beiden Forscher SMM-Rootkit weniger als Massenbedrohung, sondern mehr als ein probates Mittel für gezielte Attacken.