+
Blue Pill: A primeira Rootkit Hypervisor eficaz Pílula azul pode fazer um on-the-fly instalar e simplesmente mudar o seu sistema operacional de controle direto do computador físico para um estado virtualizado Eu tive a oportunidade de sentar-se com polaca Joanna Rutkowska pesquisador de segurança de COSEINC sediada em Cingapura depois de Black Hat 2006 na semana passada e discutimos a sua investigação de toda uma nova classe de tecnologia rootkit juntamente com sua pesquisa sobre ignorando segurança do Vista x64. Joanna Rutkowska surgiu com toda uma nova classe de rootkits que nada como nós já visto que requer toda uma nova maneira de detectar rootkits. Pílula azul é o nome que Rutkowska deu para essa nova geração de rootkits que tiram proveito da tecnologia de virtualização Pacifica da AMD chamado SVM (Secure Virtual Machine) que versões futuras irá ser portado para Intel-x VT tecnologia de virtualização [UPDATE: Dino Dai Zovi, na verdade, de forma independente criou um rootkit Hypervisor VT-x com base]. A "pílula azul" faz referência a uma das pílulas oferecidas ao nosso herói Neo no filme "The Matrix". A pílula azul lavagens de distância todo o desejo de conhecer a verdade e teria permitido Neo para ir em frente com sua vida como Mr. Anderson o programador respeitável vivendo dentro do mundo virtual do Matrix sendo explorada pelas máquinas. A "pílula vermelha" era o antídoto para acordar alguém do Matrix para fugir da escravidão. Blue Pill o rootkit, na verdade, mais potente do que a pílula azul no filme porque o rootkit não apenas mantê-lo trancado na Matriz; ele realmente alcança e seqüestra-lo do mundo físico para o mundo virtual. Embora esta não é a primeira vez que alguém veio acima com o conceito Hypervisor-rootkit (Microsoft Research SubVirt foi o primeiro), Blue Pill realmente parece ser o primeiro eficaz Hypervisor-rootkit por um tiro longo. Ao contrário SubVirt que contou com a tecnologia de virtualização como o VMware ou comercial PC Virtual, Azul Pill utiliza virtualização de hardware e permite que o sistema operacional para continuar a falar diretamente para o hardware. Software de virtualização comercial tem para emular a funcionalidade I / O total de armazenamento de rede para vídeo e seria extremamente simples para detectar mudanças de driver. Além disso, seria necessário um físico bastante complexo para migração virtual para obter SubVirt instalado no sistema. Blue Pill, por outro lado pode fazer um on-the-fly instalar e simplesmente mudar o seu sistema operacional de controle direto do computador físico para um estado virtualizado que vivem sob o controle do comprimido azul. Blue Pill, em seguida, atua como um Hypervisor ultra-fino que está adormecida na maioria das vezes usando praticamente zero em cima (na maioria das tarefas) e espera por eventos "interessantes", como a entrada do teclado. Uma vez que a entrada de teclado é tocado, qualquer senha digitada no computador pode ser a chave conectado com facilidade. Pílula azul também pode ter uma interação com a interface de rede que ele não tentar virtualizar a interface inteira como VMware ou o Virtual PC. O subsistema de vídeo e armazenamento é intocável e pode falar diretamente com o hardware que permite a zero, degradação no desempenho de vídeo e armazenamento. Porque comprimido azul não faz modificações para o BIOS ou Hard Drive e reside fora da máquina virtual onde a vida OS sequestrado, é praticamente impossível de detectar com o método convencional de software em execução no PC vítima. Na parte 2 deste blog, eu vou mais aprofundada para possíveis métodos de detecção pílula azul. Enquanto há um lado positivo na discrição, evitando um disco rígido instalar, a desvantagem, claro, é que comprimido azul não é persistente para uma reinicialização. Mas Servers realmente não reiniciar tudo o que muito e mesmo quando o fazem reinicialização, o dano já foi feito ea senha provavelmente já foi registrado a partir da entrada do teclado. Uma vez que a senha é conhecida, o hacker provavelmente pode obter de volta na rede e simplesmente reinstalar Azul Pill on the fly. Além disso, Rutkowska também está trabalhando em desligamento e reboots emulado. Se ela for bem-sucedida, ele vai deixar você saber se você realmente fez reiniciar ou se era um comprimido azul emulado reinício. Para aqueles de nós que é paranóico, você pode querer começar a pensar em puxando o cabo de alimentação durante as reinicializações.
listbesancon8.blogspot.com
No comments:
Post a Comment