De methode zorgt ervoor dat de software niet wordt opgemerkt door anti-virusproducten.

De rootkit software, genaamd a System Management Mode (SMM), draait in een beschermd deel van het geheugen van een computer. Dit deel kan op slot gezet worden en daarmee onzichtbaar worden gemaakt voor het besturingssysteem. Ondertussen kunnen hackers echter wel zien wat er gebeurt in het geheugen van de computer waarop de software draait, meldt PC World.

Stelen van gevoelige informatie

De SMM rootkit is voorzien van keylogging en communicatiesoftware en kan daarmee gevoelige informatie van de computer van een slachtoffer stelen. De software is geschreven door Shawn Embleton en Sherri Sparks, eigenaren van beveiligingsbedrijf Clear Hat Consulting. Deze proof-of-concept software zal in augustusvoor het eerst in het openbaar worden getoond tijdens de Black Hat beveiligingsconferentie in Las Vegas.

Sony rootkit

De rootkits die tegenwoordig door hackers worden gebruikt, zijn programma's die zijn geschreven om hun eigen sporen uit te wissen, zodat ze niet worden opgemerkt. Eind 2005 bereikte deze vorm van software voor het eerst het grote publiek toen platenmaatschappij Sony BMG rootkit technologie gebruikte om haar software voor kopieerbeveiliging af te schermen. De software zorgde echter voor grote problemen en uiteindelijk moest de platenmaatschappij miljoenen cd's terughalen.

Blue Pill

In de afgelopen jaren zijn onderzoekers op zoek geweest naar manieren om rootkits buiten het besturingssysteem om te laten draaien, omdat ze daar veel lastiger te detecteren zijn. Twee jaar geleden introduceerde onderzoekster Joanna Rutkowska bijvoorbeeld de Blue Pill rootkit, die gebruik maakte van AMD's virtualisatie technologie op chipniveau. Volgens Rutkowska zou de technologie op den duur kunnen worden gebruikt om malware te ontwikkelen die 100 procent inzichtbaar is.

Oude techniek

Sparks, die eerder al verantwoordelijk was voor een rootkit genaamd Shadow Walker, onderschrijft dit: "Rootkits bewegen zich steeds meer in de richting van hardware. Logisch, want hoe dieper je in een systeem duikt, des te meer macht je hebt en hoe lastiger het wordt om de rootkit te detecteren."

Waar Blue Pill gebruik maakte van nieuwe virtualisatietechnologie├źn die steeds vaker toegevoegd worden aan microprocessors, gebruikt de SMM rootkit een functie die al veel langer bestaat en in veel meer machines te vinden is. SMM grijpt terug naar de tijd van Intel's 386 processors, toen het gebruikt werd om hardwareverkopers bugs te laten verhelpen met behulp van software. De technologie wordt ook gebruikt voor energiebeheer, bijvoorbeeld door de slaapmodus van een computer te activeren.

Lastiger te detecteren

Volgens John Heasman, onderzoeksbaas bij beveiligingsbedrijf NGS Software is een SMM veel lastiger te detecteren dan Blue Pill: "Een SMM rootkit hoeft een anti-virusprogramma niet eens om de tuin te leiden, ze zijn er simpelweg al blind voor."

Onderzoekers vermoeden al jaren dat het mogelijk is om software in SMM te laten draaien. In 2006 demonstreerde onderzoeker Loic Duflot al hoe SMM malware dan zou moeten werken. Duflot schreef een kleine SMM handler die het beveiligingsmodel van het besturingssysteem aantastte. Embleton: "Wij hebben dit idee overgenomen en daarop voortgebouwd. We hebben een ingewikkeldere SMM handler geschreven die werkt met rootkit-achtige technieken. "

Omdat een SMM rootkit niet draait op het besturingssysteem is het weliswaar een stuk minder zichtbaar, maar dit zorgt er wel voor dat hackers de drivercode specifiek moeten schrijven voor het systeem dat ze aanvallen. Daardoor zal het lastig blijken om succesvolle virussen te ontwerpen die gebruik maken van de technologie.