Gyurkity Péter

Jönnek az érzékelhetetlen számítógépes kártevők

A biztonsági szakértők egy része szerint a virtualizációs technológiák elterjedése észrevehetetlen kártevők megjelenését hozza magával, amelyek tevékenységét a jelenlegi módszerekkel nem lehet korlátozni.

Joanna Rutkowska, a szingapúri COSEINC kutatója vetette fel az általa "kék pirulának" nevezett módszer ötletét, amelynek révén a mai módszerekkel nem érzékelhető kártevők jelenhetnek meg, nagyrészt az új virtualizációs technológiák nyújtotta lehetőségek kihasználásával. Érvelése szerint a célpontként kijelölt operációs rendszeren nem korlátozható a támadó, amely a hardveres virtualizációt kihasználva teljes irányítást nyer a célrendszer felett.

A kutató arról ír blogjában, hogy az ily módon kifejlesztett kártevők a Mátrixból ismerős kék pirulát adják be az operációs rendszernek, amely így a támadó által kontrollált "világba" kerül, mit sem érzékelve a megváltozott helyzetből. Rutkowska érvelése szerint az SVM/Pacifica technológián alapuló módszer nem korlátozható, mi több, nem is érzékelhető a jelenlegi biztonsági megoldásokkal, jelenléte kizárólag akkor lepleződne le, ha maga a Pacifica is hibákat hordozna magában. A megoldás legnagyobb előnye, hogy az eredményes támadáshoz nincs szükség az operációs rendszer hibájára, biztonsági résére, vagyis a teljességgel védett rendszerek felett is bármikor átvehetik az irányítást.

A bejegyzésből megtudjuk, hogy a kártevő némileg hasonlít a Microsoft és a Michigan Egyetem által SubVirt rootkit néven kidolgozott megoldásra, amely szintén a virtualizáció kihasználásán alapul. Néhány különbség azért akad köztük: a Blu Pill bármikor, az operációs rendszer elindulását követően is alkalmazható, és a 64 bites architektúra teljesen hardveres virtualizációjára támaszkodik. Ez ellen még a Vista új biztonsági eszközei sem jelentenek majd védelmet, amit a Beta 2 verzión keresztül be is mutatnak a július 21-én esedékes szingapúri SyScan, illetve az augusztus 3-án induló Black Hat konferencián. Ez utóbbi rendezvényen ismerteti a Microsoft új operációs rendszerének biztonsági funkcióit, tehát mindenképpen érdekes találkozóra kerül majd sor.

A szoftver elérhetőségéről még nincs hír, a cég saját használatra tartogatja azt, az érdeklődők mindössze előadások formájában ismerkedhetnek meg magával a megoldással, illetve annak forráskódjával. Készítője szerint amennyiben a Pacifica mentes a hibáktól, a kártevő jelenlétét nem lehet majd érzékelni a megtámadott rendszerekben.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • turul16 #27
    Új virus ellen a virus keresőd nem véd általában.
    Pár tip:
    Békésnek tűnő filok (pl. kép), file kezelőjébeni (ami csinál valamit a képpel) hiba(bug) kihasználásával ráviszi, hogy a kivánt kódrészletre kerüljön az utasítás mutató.
    Kapsz valamit, amin volt egy gonosz autorun, amit Windowsodos kérdés nélkül futat esetleg.
    Ha letöltesz egy szoftvert soha nem tudod mi is az valójában...
    Jó tanács: Rendszergazdai jogkörrel rendelkező proffilal(userel) , ne nagyon csinálj mást, mint amihez feltétlenül szükséges.
    A Linux sok esetben emiatt tartják kevésbé veszélyeztetettnek ,mert ilyen magatartással használják. (pedig csak az átlag Linux user "okosabb")
  • Indigo #26
    Na, nincs olyan okos aki tudja a választ?
  • turul16 #25
    És a rafkós roorkit szerinted, nem fogja megkérni a BIOS-t vagy az OS-t, hogy kérje meg BIOS-t, hogy adjon neki VM -et, aztán meg felül kerekedik az OS felett... (de tegyük fel "BIOS" felé nem, akkor sem mutat ugymond semmit az OS-ed)
    Egy szónak is száz a vége.., ha virus rootjogot kap és okos akkor cseszheted. Virtulizáció ide vagy oda..
  • Indigo #24
    Én csak azt akarom kérdezni, hogy egy ilyen mai rootkit hogy kerülhet be a gépembe, ha naprakész vírusírtót és tűzfalat használok? Mert az ok, hogy ha már bent van, akkor "letagadja a létezését", de hogy kerül be?
    A linket pedgi kösz irkab1rka, érdekes volt olvasgatni a témáról.
  • atlagember #23
    Mivan? Ebből a cikkből egy árva kukkot sem lehet érteni! Teljesen értelmetlen zagyvaság az egész, ráadásul olyan példát hoz, amitől még inkább kacsaszagúvá válik az egész!!!
  • hypno #22
    Na most...
    Ha nem veszem észre, akkor semmi olyat nem csinál amit észre kellen vennem.
    Ha meg csinál, akkor biztosan észreveszem, mert nem úgy fog működni a verkli mint korábban.

    Itt volna az ideje a félkész, menet közben javított szoftverekről áttérni a késztermékek terjesztésére. Különös tekintettel az operációs rendszerekre.
  • kvp #21
    Az ilyen rootkit-ek elleni legbiztosabb vedekezes ha meg az operacios rendszer elinditasa elott a bios elinditja a virtualizaciot es az os mar eleve egy vm-be kerul betoltesre. Igy nem az operacios rendszernek, csupan a bios-nak kell biztonsagosnak lennie. Az os csak a bios-on keresztul kerhet uj vm-et. Ezt a megoldast a microsoft hypervisor-nak keresztelte el, es egy hardware-es titkositasi megoldassal kiegeszitve az uj xbox360 vedelmenek alapjat kepezi. Ezert van az, hogy a konzolon meg a jatekok es a win2k alapu kernel sem latjak egymast, mivel kulon vm-ben futnak. A kommunikaciot, a drm kezelest es a drm alapu program (dll) betoltest pedig kizarolag a bios-ba integralt hypervisor vegzi. Igy elmeletileg lehetoseg lenne akar linux inditasara is, a masolasvedelem megkerulese nelkul. Az utobbi megoldast varhatoan az ugyancsak ibm technologiat hasznalo ps3 fogja hasznalni.
  • turul16 #20
    Javíts ki ha tévednék, de ha végrehajtja a helycserés támadást(mivel más esetben tudhatna a módosításrol, mivel láthatja a területet ahová HW hamisitást irták) , és ugyan anyi fizikai ramot jelez neked ,mint amit beletettél, durván ki is használod (OS), akkor a Virusnak swappolást kell kezelnie. Ha csak a HW I/O kat fogja el, hogyan oldja meg ? Ki kell találnia mit akkart az fs -kezelője ? Vagy pl. elintézi, hogy laphibát dobjon minden fs- műveletnél és saját maga kezeli le? (Talán ez még menne, de kicsit reckir, és lassú, (és nem platform fügetlen))
    És hova számolja el a vinyón nem használható helyet ? (aminek szintén tudod a méretét)
    Valahol nem fog össze jönni az össze adás..
  • turul16 #19
    Én azt is mondtam, hogy, ha a cuccnak megvan a joga virtulizálni, van joga máshoz is, pl. átirni a kernelt, a végeredmény kb. u.a. lehet.
  • irkab1rka #18
    rootkitekhez:
    rootkit kereső ingyé

    virtualizációhoz:

    turul16, szerintem kicsit vakargasd meg a virtualizációról szóló speckót (pláne, a már voltál kedves belinkelni - köszi). Gondold már végig. A buta rootkit lebukik azon, ahogy beül az oprendszer funkcinalitásába, és pl. mást ad vissza egy registry lekérdezéskor, mint ami a raw registry-ben van. A virtualzációról a legjobb közérthető megfogalmazást a Galaxis utikalauzban (nem azonos a szar filmmel ami a mozikban azonos címmel ment!!!) van megfogalmazva: nem veszed észre, hogy kicserélték az agyad, mert az új agyad nem fogja ezt megengedni, hogy észrevedd a cserét.
    Másszóval: az összes arra irányuló kisérleted, hogy kiderítsd, hogy a proci csak 0.szintre hazudja magát kudarcra van ítélve, mert az érintett opkódok okozta megszakítást a virtualizációt futtató kód kezeli le, és ő majd jól megmondja a tutit :)
    Tudtommal csak úgy bukhat le, hogy minden privilegizált utasítás tovább tart, mint kéne (a speckótól eltérő órajel ciklust igényel a végrehajtás). A belső óra elkezd másként járni (ha ez jutott eszedbe, hogy utánhangolod), amit azért lehet észlelni, ha csinálsz 1 másodpercig taskswitchet, és megszámolod, hogy hányszor tudtad végrehejtani. :)

    Persze nincs megoldhatatlan feladat, és elvis él.