image

Virtuele Machines malware doelwit van 2009

donderdag 27 november 2008, 13:16 door Redactie, 12 reacties

Volgend jaar zullen virusschrijvers hun pijlen richten op Virtuele Machines, zo voorspelt filterbedrijf MessageLabs. De sluiting van verschillende grote botnets zou de groei van "virtuele malware" veroorzaken. "Het besturingssysteem weet niet dat het er is, en de malware zal dan low-level calls van het besturingssysteem onderscheppen", aldus analist Paul Wood. Volgens Wood is het probleem met virtuele malware dat je moet beseffen dat het er is en begrijpen hoe je het moet verwijderen. "Omdat het zo low-level is, is het opnieuw installeren van de machine soms de enige oplossing."

Mark O'Dell merkt op dat de theoretische dreiging van virtuele malware al sinds de creatie van hypervisor technologie bestaat en dat dit soort malware veel lastiger te detecteren is. Het filterbedrijf voorspelt verder dat malware volgend jaar slimmer en veelzijdiger zal worden. Een spambot die bijvoorbeeld merkt dat het spammen niet meer lukt, kan dan zelf omschakelen om denial of service aanvallen uit te voeren. Daarnaast moeten ook eigenaren van een smart phone opletten, aangezien aanvallers op "mobiele botnets" uit zouden zijn.

Reacties (12)
27-11-2008, 13:38 door Napped
Is elke malware sowieso niet virtueel (-_-')
27-11-2008, 13:45 door Anoniem
Nu begrijp ik de stelling u bedoeld niet de Virtuele Machines zij het doelwit zoals Vmware of virtual pc 2007 maar u bedoeldt de spam wordt gescheven als programma dat zich gedraagd als een virtual pc een bestuuringsysteem dan specail voor "Virtual malware" gescheven is op een protocol van Vmware of Java virtualbox ! hierdoor kan de malware beveiligingsoftware om de tuin teleiden! Ook kan men gebruik maken van netwerk om via een illegaal IP address , proxy server zo spam better teverspreide!
27-11-2008, 13:56 door Anoniem
Ach ze moeten wel met hun tijd meegaan. Ik dacht eigenlijk dat "cloud computing" de hype van dit moment was. Dat biedt zeker kansen voor malware-ontwikkelaars. Het is in ieder geval mistig genoeg.

Verder is het natuurlijk wel zo dat de virtualisatiesoftware echt niet meer kan dan wat door het onderliggende besturingssysteem wordt toegelaten. Daar kunnen natuurlijk wel missers (exploits) in zitten, maar die kunnen net zo makkelijk daar andere software worden gebruikt.
27-11-2008, 15:52 door XM16E1
Door NappedIs elke malware sowieso niet virtueel (-_-')
Wat? sorry maar ik kan niet meer onderbouwen dan simpel 'wat'.
27-11-2008, 17:21 door Ilyas
Is de term "Virtuele Malware" niet een beetje ongelukkig gekozen?
Waar nestelt de malware zich dan precies ?
27-11-2008, 21:56 door Anoniem
Door Iceman_BIs de term "Virtuele Malware" niet een beetje ongelukkig gekozen?
Waar nestelt de malware zich dan precies ?

lees dit even: http://theinvisiblethings.blogspot.com/2006/06/introducing-blue-pill.html
27-11-2008, 23:20 door Anoniem
Door Iceman_BIs de term "Virtuele Malware" niet een beetje ongelukkig gekozen?
Waar nestelt de malware zich dan precies ?

idd!! het gaat toch om het os? de malware kan niet herkennen of het virtueel is of niet!!

lijkt me meer broodje aap.
28-11-2008, 08:58 door Anoniem
Door Iceman_BIs de term "Virtuele Malware" niet een beetje ongelukkig gekozen?
Waar nestelt de malware zich dan precies ?
De malware nestelt zich parallel aan het besturingssysteem of tussen besturingssysteem en hardware als het een hypervisor is.

Het idee van XEN ( http://citrix.com/English/ps2/products/product.asp?contentID=683148 ) dus.

Mensen zijn min of meer gewend geraakt aan het idee van VMware, waarbij bijvoorbeeld VMware-player een applicatie is binnen Windows of Linux, waarbinnen je een ander OS kunt installeren. Hierbij is het host-OS dan degene die de hardware direct aanstuurt en het gast-OS binnen VMware communiceert dan via VMware, via dat host-OS met de hardware. Het gast-OS draait dan bovenop het host-OS.

Met XEN is dat nog op een iets lager niveau. Op het laagste niveau draait een hypervisor die met de hardware communiceert en een platform biedt voor meerdere OS-en.
Alle OS-en die daarop draaien, draaien dus op hetzelfde niveau en zien elkaar dus niet.
Als je dus parallel aan je Windows een ander OS (bijvoorbeeld een Linux met kwaadaardige scripts) draait, kan je virusscanner onder Windows dat totaal niet zien. Zo kun je dus een botnet draaien op je PC, terwijl dat totaal niet zichtbaar is voor je Windows.

Het kan echter nog beroerder.
Stel dat de hypervisor (die dus tussen de hardware en je OS draait) allerlei kwaadaardige software bevat, zoals een alternatieve DNS-server, dan kun je echt niet meer vertrouwen op de data die je via je netwerk binnenkrijgt.
Die software tussen netwerkkaart en je OS kan dan namelijk al het verkeer wat er langs komt zien en aanpassen. (netwerkkaart draait op de hypervisor in promiscuous mode en de hypervisor maakt in software een soort van netwerk-hub waarop alle virtuele netwerkkaarten van alle virtuele OS-en verbinden)

De enige manier waarop je in je Windows zou kunnen zien dat er iets niet in de haak is, is wanneer je in je Windows een andere netwerkkaart-driver ziet dan dat er aan hardware op je PC zit. (bijvoorbeeld een standaard netwerkdriver, terwijl je een dure 3com of Intel chip erin hebt zitten). Ook zou je kunnen zien dat je wat schijfruimte minder tot je beschikking hebt. Alle andere hardware kun je gewoon ongemerkt gebruiken.
Heel mischien zou je met netwerk-snif-tools kunnen zien dat je in je Windows een ander mac-adres hebt dan aan de buitenkant, maar er is eigenlijk ook geen reden om dat niet gelijk te houden.

Kortom voor vrijwel alle PC-gebruikers (op expert-niveau na), is het vrijwel onzichtbaar en niet te detecteren.
28-11-2008, 11:16 door Warrior of the Wasteland
@anoniem 8:58: dank je wel voor de verheldering.
Mij benieuwen hoe dit vorm gaat krijgen.

Maar ja; er wordt al lang aangekondigd dat virtuele machines op de PC de toekomst zal zijn, dus ook de virusschrijver bereiden zich daarop voor...
28-11-2008, 11:28 door Anoniem
Ik mag aannemen dat dit soort malware geen schijn van kans maakt tegen vista's supergoede beveiliging (lees UAC en PatchGuard)...?
28-11-2008, 12:02 door Anoniem
Door AnoniemIk mag aannemen dat dit soort malware geen schijn van kans maakt tegen vista's supergoede beveiliging (lees UAC en PatchGuard)...?
Nee, aangezien je altijd domme gebruikers blijft houden, zal er altijd wel code uitgevoerd kunnen worden die diep in het systeem ingrijpt en dus kans ziet om een hypervisor te installeren op PC's.
Wat dat betreft is aanzetten in de BIOS dat je de bootsector wilt beveiligen nog wat veiliger in deze situatie dan UAC van Vista ;)

Het zal trouwens een knap stukje code moeten worden om vrijwel ongemerkt een hypervisor te installeren onder het bestaande OS. Als virus-schrijver zou je dat eigenlijk al moeten toevoegen aan de restore-CD's van de grote computerfabrikanten :)
28-11-2008, 13:58 door Anoniem
Dit heeft niets met de beveiliging van Vista te maken, vermits dit virus/malware zal werken op een niveau LAGER dan het OS systeem kan je niet verwachten dat het OS de problemen kan detecteren, laat staan oplossen.

Het is een beetje alsof je speurders zou zetten die op de buitenmuren van een burcht staan te staren in de verte, terwijl de aanvallers uit de riool komen gekropen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.