• Tweet

Investigadores en seguridad descubrieron técnicas para ocultar la presencia de malware en sistemas infectados. Ocultando rootkits en máquinas virtuales es como los hackers evitan ser detectados por software de seguridad, de acuerdo con boffins de Microsoft Research y la Universidad de Michigan.

Para confirmar sus preocupaciones, los investigadores desarrollaron un programa para hacer pruebas de concepto, al cual llamaron SubVirt, este se aprovecha de las vulnerabilidades de seguridad para ejecutar una VMM (vitual machin monitor – maquina virtual) en Windows (Windows/VirtualPC) o en Linux (Linux/VMWare), comentó eWeek. SubVirt ejecuta 4 servicios maliciosos en el equipo comprometido incluyendo un phishing Web Server, un keystroke logger y software de contramedidas de seguridad.

En un escenario de ataque, las vulnerabilidades de seguridad son utilizadas para obtener privilegios de administrador en el equipo. Este acceso se utiliza para convertir al sistema en una serie de boots e instalar el rootkit en la máquina virtual. Después de esto, los intrusos tienen toda la facilidad de desplegar el software malicioso oculto.

“Todo el código ejecutado por los intrusos en un sistema operativo es totalmente invisible. La capacidad de ejecutar servicios maliciosos de forma invisible en los Sistemas Operativos, da la libertar a los intrusos de ejecutar código disminuyendo las posibilidades de ser detectados” comentaron los investigadores.

Las herramientas anti-rootkit existentes en la actualidad, comparan el sistema de archivos y las desigualdades en el API para detectar la presencia de rootkits, una técnica que no podrá ser usada para descubrir la presencia de código malicioso en una máquina virtual. Lo que los instigadores esperan hacer con su trabajo es ayudar a las firmas de seguridad a adaptar su tecnología para combatir las nuevas amenazas.

La detección de hardware, software de seguridad a bajo nivel y el booteo de un medio seguro, podrían ser contramedidas. El equipo presentará resultados sobre esto en un simposio de Security and Privacy de la IEEE.