I rootkit si nascondono sotto forma di virtual machine

I laboratori di ricerca Microsoft in collaborazione con l’Università del Michigan hanno sviluppato dei prototipi di rootkit basati sull’uso di “virtual machine” in grado di aprire nuovi scenari per il “camuffamento” di malware che consentano di mantenere il controllo di un sistema “vittima” da parte di un aggressore remoto.
Il rootkit “proof-of-concept” è stato battezzato SubVirt: è in grado di attaccare sia sistemi Windows che Linux proprio sfruttando il concetto di macchina virtuale.
Gli strumenti anti-rootkit oggi disponibili effettuano un’analisi delle discrepanze rilevate all’interno del registro e dei file di sistema, ma la tattica risulta infruttuosa se il rootkit si nasconde in aree che non possono essere analizzate.
Assumendo la prospettiva di un potenziale aggressore, i ricercatori Microsoft e quelli dell’Università del Michigan si pongono così l’obiettivo di aiutare chi sviluppa software di sicurezza ad armarsi per tempo contro una categoria di malware che potrebbe ben presto cominciare a circolare.
Una macchina virtuale è da intendersi come un’istanza del sistema operativo che opera “a metà strada” tra l’hardware ed il sistema operativo ospitante. Ponendosi ad un livello più basso rispetto al sistema operativo in uso, la macchina virtuale (VM) è in grado di controllare i livelli superiori in maniera trasparente.