Создан прототип руткита для виртуальных машин

[Shu_b]

Создан прототип руткита для виртуальных машин

Исследователи корпорации Microsoft совместно с исследователями университета в Мичигане сообщают о разработке прототипа руткита (rootkit), базирующегося на технологии виртуальных машин (virtual machine-based rootkits). Руткит получил название SubVirt, использует уязвимости виртуальных машин Linux/VMWare и Windows/VirtualPC для запуска вредоносного кода, который затем невозможно обнаружить. Так как виртуальная машина представляет собой некий промежуточный уровень между уровнем аппаратного обеспечения и "гостевой" операционной системой, руткит, запущенный на этом уровне невозможно обнаружить штатными средствами обнаружения закладок (например, Strider GhostBuster Rootkit Detection от M$ или RootkitReveal от Sysinternals). О рутките исследователи планируют подробно рассказать на симпозиуме по компьютерной безопасности, который будет проводиться IEEE в этом году. Также был выпущен технический документ, в котором детально описана применяемая руткитом технолгия для работы на уровен виртуальной машины.
Подробности

Источник: uinc.ru

[aintrust]

Добавлю только, что этот технический документ можно найти здесь: SubVirt: Implementing malware with virtual machines. 14 листов приятного чтения на ночь...

[rav]

Это точно. Вчера вечером, пока не дочитал до конца, так и не смог пойти ужинать!

[aintrust]

Это точно. Вчера вечером, пока не дочитал до конца, так и не смог пойти ужинать!

Совсем себя не бережешь!

[Xen]

Так и надо =)

[Зайцев Олег]

Добавлю только, что этот технический документ можно найти здесь: SubVirt: Implementing malware with virtual machines. 14 листов приятного чтения на ночь...

Чтиво хорошее, я тоже этот PDF недавно читал. Но не такая уж это невидимая штука ... Запуститься то зловред первично как-то должен - значит, как минимум файл на диске + автозапуск.

[rav]

Чтиво хорошее, я тоже этот PDF недавно читал. Но не такая уж это невидимая штука ... Запуститься то зловред первично как-то должен - значит, как минимум файл на диске + автозапуск.

Ты, по-моему, немного недопонял того, что прочитал. Там же идёт речь о модификации MBR либо загрузочной записи ОС! И нет никакого файла на диска, равно как и регистрации автозапуска, виртуальную машину можно записать в скрытый раздел диска. А если ещё прицепить ACPI-дыру к этому руткиту- то всё, только перепрошивка BIOS (если он не дуальный) + загрузка с CD спасёт пользователя. Так что только проактивная защита рулит в этом случае, всё остальное сможет только нервно курить в сторонке.

[Зайцев Олег]

Ты, по-моему, немного недопонял того, что прочитал. Там же идёт речь о модификации MBR либо загрузочной записи ОС! И нет никакого файла на диска, равно как и регистрации автозапуска, виртуальную машину можно записать в скрытый раздел диска. А если ещё прицепить ACPI-дыру к этому руткиту- то всё, только перепрошивка BIOS (если он не дуальный) + загрузка с CD спасёт пользователя. Так что только проактивная защита рулит в этом случае, всё остальное сможет только нервно курить в сторонке.

Как раз понял - я просто знаю, как много современных зверей использует размещение себя в Bios и MBR Т.е. в теории это возможно (в чистой теории), а на практике - возникнет масса проблем и сложностей. Еще год назад eEye была анансирована идея руткита, который размещается в MBR и патчил низкоуровневые компоненты на лету, в момент их загрузки - они не поленились нарисовать презентацию на 46 листов и приложить исходники на asm ... но идея не прижилась из за сложности инсталляции и реализации.

[aintrust]

Как раз понял - я просто знаю, как много современных зверей использует размещение себя в Bios и MBR Т.е. в теории это возможно (в чистой теории), а на практике - возникнет масса проблем и сложностей. Еще год назад eEye была анансирована идея руткита, который размещается в MBR и патчил низкоуровневые компоненты на лету, в момент их загрузки - они не поленились нарисовать презентацию на 46 листов и приложить исходники на asm ... но идея не прижилась из за сложности инсталляции и реализации.

Я бы не смешивал все в одну кучу: и модификацию MBR (или ее отсутствие - eEye BootRoot все-таки не размещался в MBR, если уж быть точным!), и модификацию BIOS (в любом виде), и виртуализацию разной степени... и т.д. и т.п. Ясно одно - создание полноценного и качественного руткита, использующего технологию VMBR - очень непростое и затратное занятие, а стоит ли такая игра свеч? Маловероятно, что такие руткиты появятся на рынке в ближайшее время, если появятся ITW вообще...

А вот и мнение Greg Hoglund: VMBR's a threat? Not really.

[rav]

Как раз понял - я просто знаю, как много современных зверей использует размещение себя в Bios и MBR Т.е. в теории это возможно (в чистой теории), а на практике - возникнет масса проблем и сложностей. Еще год назад eEye была анансирована идея руткита, который размещается в MBR и патчил низкоуровневые компоненты на лету, в момент их загрузки - они не поленились нарисовать презентацию на 46 листов и приложить исходники на asm ... но идея не прижилась из за сложности инсталляции и реализации.

Олег, смотри. Если мы берём массовый сектор- то да, все эти прибабахи нафиг не нужны, там даже если и стоит хоть что-нибыдь, то базы этого чего-нибудь не обновлялись с момента установки. И защита протыкается с полпинка. НО! Если мы посмотрим рынок адресных атак на хорошо защищённые корпоративные тачки с целью похищения конфиденциальной информации, то это как раз то, что доктор прописал- хрен потом найдёшь и вычистишь! Да и затраты на программера экстра-класса, который всё это реализует, в данном секторе не выглядят такими уж большими. Прибыль на порядки больше!

[aintrust]

...
Да и затраты на программера экстра-класса, который всё это реализует, в данном секторе не выглядят такими уж большими. Прибыль на порядки больше!

... Что-то сомневаюсь я в таких сценариях - сложные методики обычно редко приводят к успеху. Если атака направленная, то за эти деньги проще и эффективнее купить инсайдера.

[Зайцев Олег]

... Что-то сомневаюсь я в таких сценариях - сложные методики обычно редко приводят к успеху. Если атака направленная, то за эти деньги проще и эффективнее купить инсайдера.

Вот именно - согласен на 100% и поддерживаю. Направленные действия против некоей компании с применением инсайдера дает практически гарантированный результат, заказ разработки некоего сложного заказного ПО - не факт ... тем более что этот ПО еще как-то нужно внедрить на защищенные ПК, и как-то получить собранные данные.

[aintrust]

А вот и забавная реакция финской антивирусной компании F-Secure: An Old Idea Returns for Building a Better Rootkit.

[SDA]

В начале марта корпорация Microsoft объявила о создании принципиально нового руткита, практически не поддающегося обнаружению. Руткит под названием SubVirt был создан в лабораториях Microsoft Research совместно с исследователями Мичиганского университета. SubVirt использует уязвимости виртуальных машин ОС Linux и Windows для запуска вредоносного кода, что делает руткит практически необнаружимым для стандартного антивирусного ПО. Возьмут ли новую технологию на вооружение вирусописатели, комментирует вирусный аналитик "Лаборатории Касперского", кандидат технических наук Юрий Машевский:

"Написание руткита, подобного SubVirt, который будет виртуализировать работу операционной системы, действительно совершенно реально, но крайне трудоёмко. По сложности эта работа сопоставима с созданием операционной системы. Очевидно, что большинство вирусописателей этим заниматься не будут в силу трудоёмкости задачи, требующей обширных знаний как в области программирования, так и в аппаратном устройстве компьютера. Следует отметить, что возможность создания такого руткита рассматривалась экспертами, как вполне реальная и ранее. Поэтому SubVirt можно оценивать с точки зрения ИТ-безопасности, как концептуальную разработку, призванную доказать жизнеспособность такого подхода. Однако данный метод построения руткитов вряд ли найдет практическое применение в среде вирусописателей, поскольку требует для своей реализации огромных интеллектуальных и временных затрат, несопоставимых с любым конечным результатом".

compulenta.ru

[orvman]

http://virusinfo.info/showthread.php?t=4963 - тоже самое, что я и говорил в своей цитате.

Руткит под названием SubVirt был создан в лабораториях Microsoft Research

И к чему бы это? Угадайте с одной попытки.