# Форум на русском языке  > Новости  > Новости компьютерной безопасности  >  Предложен детектор руткитов нового типа

## SDA

Группа разработчиков North Security Labs предложила детектор руткитов, основанный на аппаратной виртуализации. Заявлена способность детектирования ряда известных руткитов, таких как Shadow Walker и Rustock.

Hypersight Rootkit Detector работает в качестве монитора виртуальной машины. Ядро запускается в качестве гипервизора при старте системы, контролируя в дальнейшем критические операции и оставаясь незаметным как для системы, так и для вредоносного ПО. Контролируются типичные действия руткитов, в том числе попытки перехода в режим гипервизора, характерные для руткитов, приобщившихся к аппаратной виртуализации - наподобие известной Blue Pill.

Реализована поддержка процессоров Intel с технологией VT-x, в ближайшем будущей обещается и поддержка процессоров AMD. Продукт представлен в виде альфа-версии, подключиться к тестированию на свой страх и риск приглашаются все желающие.
Источник: North Security Labs 


http://www.northsecuritylabs.com/

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## rav

Не получится северный олень из этого. То событие, что я видел на скриншоте, способен сгенерировать любой не слишком правильно написанный HIPS или иной перехватчик SSDT в ядре. Но это можно и обойти, переписав перехватчик или использовав инлайн-перехваты, документированные функции и сложно-детектируемые поля данных. Так что, как отдельный компонент на основе виртуализации оно не сработает. Ring-1 подсистема может лишь служить поддержкой обычной anti-rootkit инструмента, но никак не отдельным инструментом как таковым.

----------


## aintrust

> Не получится северный олень из этой поделки, как бы они не старались.


Илья, а где там написано, что должен получиться "северный олень"? =)

Читаем:



> Hypersight RD перехватывает и блокирует попытки перехода в режим гипервизора. Данный тип активности присущ руткитам, которые используют аппаратную виртуализацию (Blue Pill, Vitriol). Кроме того, Hypersight RD перехватывает все операции с таблицей страниц, а также с GDT и IDT, что позволяет обнаруживать руткиты, применяющие стелс-технологии для скрытия в памяти (руткиты типа Shadow Walker).


Ни больше, ни меньше... Т.е., по сути, это "как-бы" антирукит (авторы определяют его как "VIPS") для вполне специфического применения, точнее - для некоторых вполне определенных методик, применяемых отдельными руткитами (и не только руткитами - для этих случаев есть отдельная проясняющая ситуацию сноска в описании).

----------


## rav

Просто на сайте они позиционируют его как средство борьбы с руткитами в основном. А на это средство оно как раз и не шибко тянет. Ну изменит руткит методики внедрения и сокрытия себя в системе- и всё, отвалился VIPS. HIPS-системы значительно более надёжны в этом смысле- если всё спроектировано грамотно, как средство борьбы с руктитами оно надёжнее будет.

*Добавлено через 2 минуты*

Кстати, мне всё больше кажется, что эта тулза- изделие тех же людей, что делали RKU. Например, домен зареган через прокси...

----------


## aintrust

> Просто на сайте они позиционируют его как средство борьбы с руткитами в основном.


Зато вот что написано в пресс-релизе:



> Однако было бы неправильно считать, что аппаратная виртуализация может обеспечить полную защиту ПК. Комплексная защита должна сочетать методы, применяемые в системах безопасности 1-го, 2-го, 3-го и 4-го типов (сигнатурные сканеры, системы предупреждения вторжений, сканеры целостности ядра, виртуальная система предупреждения вторжений)


Позиционирование и понимание ситуации вполне адекватное, разве нет?

----------


## rav

> Зато вот что написано в пресс-релизе:


А, я его не читал. 




> Позиционирование и понимание ситуации вполне адекватное, разве нет?


Да, совершенно верно.

----------


## Ego1st

насколько я понял сначала запускаеться данный антируткит, а потом он уже передает управление ядру оси.. если неправ поправьте меня..
Хотелось бы уточнить, разве может быть какой-то способ обхода? разве это не тоже самое(примерно) что хард подрубить к другому компу(запустить под другой осью)..как может себя что-то скрывать если оно не запущенно..

Заранее благодарю экспертов за ответ=))
или я чего-то недоганяюю..

----------


## Surfer

"гамнoсофт" имхо, ZenaDriver мне показалась более практичной =)

----------


## rav

> или я чего-то недоганяюю..


Угу, именно. Системы хардверной виртуализации представляют собой слой кода с привилегшями  ring -1, что позволяет перехватывать операции манипулирования портами, системными областями памяти и регистрами. То есть, тоже самое, что делают обычные программы виртуализации.

----------


## Ego1st

> Угу, именно. Системы хардверной виртуализации представляют собой слой кода с привилегшями  ring -1, что позволяет перехватывать операции манипулирования портами, системными областями памяти и регистрами. То есть, тоже самое, что делают обычные программы виртуализации.


ring -1 запускаеться до ядра оси?

----------


## rav

ring-1 - это новый уровень привилегий, доступный в процессоре для реализации хардверной виртуализации. Вопрос неправилен по своей сути.

----------


## Ego1st

Большое спасибо rav за пояснение изучу данный вопрос более подробно..

----------


## S.T.A.S.

> Кстати, мне всё больше кажется, что эта тулза- изделие тех же людей, что делали RKU


Они это не особо скрывают.




> Зато вот что написано в пресс-релизе:
> 
> Позиционирование и понимание ситуации вполне адекватное, разве нет?


Почти. НО разница тут примерно как между security и safety.

Защита должна не что-то в себе сочетать, а обеспечивать безопасность. Защита от вторжений malware подразумевает гарантию целостности системы. Это обеспечивается гарантией неизменности данных (кода) системы. Сигнатурные сканеры и сканеры целостности ядра (а полноценные реализации анхукеров практически не возможны на сегодняшний день) - это всего лишь часть необходимых для контроля вещей. Про другие можно прочитать например в докладе Semantec

----------


## rav

> Защита от вторжений malware подразумевает гарантию целостности системы.


Скорее, гарантию некритичности подобных изменений. Например, создали тебе на диске файл (или же ADS-поток в уже существующем), но в автозагрузку это дело прописать обломилось. Система изменилась? Да. Критично? Нет, поскольку собственно заражение не состоялось.

----------


## S.T.A.S.

> Например, создали тебе на диске файл (или же ADS-поток в уже существующем), но в автозагрузку это дело прописать обломилось. Система изменилась? Да. Критично? Нет, поскольку собственно заражение не состоялось.


Другой сценарий - поменяли существующий (загружаемый) файл. Прямой работой с диском. Надёжная система должна гарантировать некритичность таких изменений.

----------


## rav

> Другой сценарий - поменяли существующий (загружаемый) файл. Прямой работой с диском. Надёжная система должна гарантировать некритичность таких изменений.


Надёжная систеима должна или давать возможность откатить подобные изменения либо блокировать их.

----------


## S.T.A.S.

> Надёжная система должна или давать возможность откатить подобные изменения либо блокировать их.


Необходимые и достаточные условия - очень разные вещи. Авторы Hypersight указали не все необходимые условия (потому что "Rustock.C" судя по всему детектился AdInf'ом). У тебя же выходит, что достаточные ограничиваются только 2мя; возможная ошибочность этого утверждения следует из того, что если мы о чем-то не знаем, это не значит что этого не может быть. Вот еще достаточное условие - проверять целостность при чтении. Да, работа системы может быть нарушена (как и в случае возможности отката (отката)). Но она не будет компрометирована.

*Добавлено через 2 минуты*

Да, кстати, не уверен, что возможночть отката - достаточное условие.

----------

