Blue Pill — приоткрывая вуаль

Выдержка из интервью с Александром Самойленко с ixbt.com.

Blue Pill (имя которого, кстати, взято из фильма «Матрица») представляет собой средство получения контроля над компьютером (руткит), которое основывается на технологиях виртуализации и нацелено на операционную систему Windows Vista. На данный момент Blue Pill использует технологию виртуализации AMD-V (бывшая Pacifica), которая присутствует во всех последних процессорах компании AMD, но не существует препятствий к его портированию на платформы Intel с технологией Intel VT (бывшая Vanderpool). Blue Pill был разработан Джоанной Рутковской (Joanna Rutkowska) и впервые продемонстрирован на Black Hat Briefings 3 августа 2006 года.

Механизм работы руткита выглядит следующим образом:
вредоносный код проникает в целевую систему
затем происходит незаметная виртуализация хостовой системы, которая превращается в гостевую на данном компьютере, а Blue Pill действует как гипервизор, при этом не требуется перезагрузка операционной системы
все необходимые руткиту интерфейсы для взаимодействия с внешней средой «прячутся» за пределами этой системы, а ПО для обнаружения вторжений не может найти руткит, поскольку он расположен вне операционной системы.

Компания Microsoft совместно с Мичиганским университетом (University of Michigan) в прошлом году также разработала руткит SubVirt, поражающий операционные системы Windows и Linux тем же способом, что и Blue Pill. В отличие от Blue Pill, этот руткит может быть более просто обнаружен, поскольку не может быть установлен «на лету» и вносит некоторые изменения в структуру диска, что делает возможным обнаружение руткита при проверке диска на другом компьютере. Также SubVirt эмулирует аппаратные компоненты, отличающиеся от реального «железа», что позволяет просто обнаружить виртуализацию.

Аппаратная виртуализация значительно упрощает написание программного обеспечения с использованием технологий виртуализации, что значительно увеличит в ближайшее время объем подобного вредоносного ПО. Тем не менее, о реальной опасности говорить еще рано, поскольку трудозатраты на его написание все еще достаточно велики. Компания Microsoft, разработавшая SubVirt, неоднократно заявляла, что затраты на его реализацию сравнимы с затратами на создание операционной системы. Тем не менее, эту опасность стоит иметь в виду, а производители антивирусного ПО в ближайшее время должны включить в свои системы возможности обнаружения руткитов, использующих виртуализацию.

Страница проекта — http://bluepillproject.org.

Запись опубликована в рубрике Новости. Добавьте в закладки постоянную ссылку.

8 комментариев: Blue Pill — приоткрывая вуаль

  1. phily говорит:

    А в мирных целях это нельзя использовать?

  2. A.Vakhitov говорит:

    Думаю, что можно. Попытки сделать компьютер с несколькими ОС и каким-то ГУИ между ними уже предпринимались (помнится, Poenix Bios’ом).

  3. Михаил говорит:

    phoenix обещал сделать гипервизор в биосе, но зарелизенный продукт оказался чем то совсем другим.

    Сейчас Citrix обещает сделать т.е. «клиентский гипервизор» (VMware, по моему, тоже).

    По поводу «голубых таблеток» — есть мнение, что их опасность слегка преувеличена. Во первых, практических реализаций нет. Во вторых — например, на vmgu.ru на днях был пост для программеров — что то типа «как узнать что мы в ВМ» — т.е. средство обнаружить такой руткит так же описаны.

  4. боян говорит:

    Извините господа, но это тааакой боянище. Вон даже дата была 2006г. Ну и потом сама технология такова, что если у когото и есть наработки, то можно считать за счастье, если кого-то таким руткитом поразят из тех кто читает этот rss в ближайшие года два. Ну если только человек сам не протупит.

    Правда есть другоая сторона монетки: где-то на пороге миллениума была у иностранцев поражен один sun сервер, на котором был запущен руткит, написанный по схожей технологии. Написал его какой-то китаец. Так что такое уже давно существует, но это такая жуткая приватуха, что текущая гроза openssh 4.3 рядом не валялась.

  5. A.Vakhitov говорит:

    Вообще говоря, потенциально очень интересная тема — ведь получится этакий встроенный VMware Workstation. За счет bare-metal он будет достаточно быстрым. Если замутить его в стандарты и пролоббировать всем центрам обучения — студенты будут только рады — ибо Virtual PC уже вот тут сидит 🙂
    Да и дома тоже использовать можно…

  6. A.Vakhitov говорит:

    Уважаемый боян 🙂
    Действительно, данные руткиты назвать «свежачком» язык не поворачивается.
    Тем не менее, если говорить про 2006 год и руткит Blue Pill, то он использовал технологии AMD-V и Intel VT. Если я не ошибаюсь, тогда распространенность процессоров с поддержкой данных технологий была очень невелика. А через несколько лет не менее 50% работающих x86-систем будут поддерживать одну из этих технологий. Соответственно, если появится организация, которая захочет вложить деньги в такой вирус — он появится и создаст такую бот-нет… 🙂

  7. phily говорит:

    А чего, холивора не будет?

  8. Андрей Вахитов говорит:

    Повода нет 🙂

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *