Beveiligingsonderzoekers beweren een onzichtbare rootkit te hebben ontwikkeld die niet door beveiligingssoftware is te detecteren. Shawn Embleton en Sherri Sparks van Clear Hat Consulting noemen hun creatie de nieuwe generatie rootkits. De System Management Mode (SMM) Rootkit gebruikt een redelijk onbekende mode van Intel processoren om zich te verbergen. De SMM code is daardoor onzichtbaar voor het besturingssysteem maar heeft toch volledige toegang tot het geheugen en controle over de hardware. Om detectie te voorkomen verbergt de rootkit zijn geheugen footprint en wordt ook het besturingssysteem niet aangepast. Toch kan het gegevens stelen die van en naar de machine worden gestuurd.

Volgens Embleton en Sparks weet de rootkit hierbij alle host-based intrusion detection systemen en firewalls te omzeilen. Tijdens de komende Black Hat conferentie in Las Vegas zullen de onderzoekers een demonstratie van hun 'chipset level keylogger' geven.

Onzichtbaar bestaat niet?

Al jaren roepen onderzoekers dat ze een onzichtbare rootkit kunnen ontwikkelen, van wie de Poolse onderzoekster en "rootkit wonderkind" Joanna Rutkowska het bekendst is. In 2006 bedacht zij een nieuwe technologie waardoor rootkits niet gedetecteerd kunnen worden. De "Blue Pill" technologie gebruikt AMD’s Secure Virtual Machine technologie om een soort "Matrix-achtige" wereld te maken waarin het besturingssysteem zich bevindt.

Normale rootkits en backdoors zijn allemaal gebaseerd op een concept. Als je eenmaal dit concept kent, kun je de rootkit in theorie detecteren. Rutkowska breekt met deze traditie. Het idee achter Blue Pill gaat namelijk niet uit van een vast concept. Het besturingssysteem "slikt" de Blue Pill en het wordt wakker in de Maxtrix waar de Blue Pill hypervisor alles controleert. Dit gebeurt realtime, zonder dat het systeem herstart hoeft te worden en je merkt ook niets aan de prestaties van de machine, die zich nu binnen een virtuele machine bevindt. Dit is allemaal mogelijk dankzij AMD’s Secure Virtual Machine technologie.

Veel onderzoekers stonden sceptisch tegenover de beweringen van Rutkowska en daagde haar uit om een onvindbare rootkit te ontwikkelen. De Poolse accepteerde de uitdaging van het viertal, maar alleen als die de ontwikkeling ervan wilde betalen. Dit zou neerkomen op een bedrag van 287.000 euro. De Blue pill die de Poolse voor ogen heeft kost twee mensen een half jaar om te ontwikkelen. Vanwege het hoge bedrag ging de weddenschap niet door.

Het onderwerp van onzichtbare rootkits blijft de gemoederen bezighouden. Een rootkit die door het hele systemen te emuleren niet gedetecteerd kan worden bestaat niet, aldus onderzoekers van de universiteiten van Carnegie Mellon en Stanford eind vorig jaar.

Hardware rootkit

In het geval van de SMM-rootkit bevindt die zich in de hardware en dat is een trend die zich doorzet. "Rootkits begeven zich steeds meer naar de hardware," aldus Sparks. Dat hardware risico's met zich mee kan brengen werd in april al duidelijk toen de FBI voor Chinese routers waarschuwde. De waarschuwing werd later overgenomen door het Pentagon, dat een speciaal project startte om backdoors in hardware te detecteren. Dat dit geen slecht idee is bewezen onderzoekers van de Universiteit van Illinois. Zij wisten een backdoor fysiek in een processor te verstoppen.