Показано с 1 по 15 из 15.

Создан прототип руткита для виртуальных машин

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639

    Создан прототип руткита для виртуальных машин

    Создан прототип руткита для виртуальных машин

    Исследователи корпорации Microsoft совместно с исследователями университета в Мичигане сообщают о разработке прототипа руткита (rootkit), базирующегося на технологии виртуальных машин (virtual machine-based rootkits). Руткит получил название SubVirt, использует уязвимости виртуальных машин Linux/VMWare и Windows/VirtualPC для запуска вредоносного кода, который затем невозможно обнаружить. Так как виртуальная машина представляет собой некий промежуточный уровень между уровнем аппаратного обеспечения и "гостевой" операционной системой, руткит, запущенный на этом уровне невозможно обнаружить штатными средствами обнаружения закладок (например, Strider GhostBuster Rootkit Detection от M$ или RootkitReveal от Sysinternals). О рутките исследователи планируют подробно рассказать на симпозиуме по компьютерной безопасности, который будет проводиться IEEE в этом году. Также был выпущен технический документ, в котором детально описана применяемая руткитом технолгия для работы на уровен виртуальной машины.
    Подробности

    Источник: uinc.ru

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Добавлю только, что этот технический документ можно найти здесь: SubVirt: Implementing malware with virtual machines. 14 листов приятного чтения на ночь...

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    419
    Это точно. Вчера вечером, пока не дочитал до конца, так и не смог пойти ужинать!
    http://www.softsphere.com - DefenseWall, DefencePlus

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Цитата Сообщение от rav
    Это точно. Вчера вечером, пока не дочитал до конца, так и не смог пойти ужинать!
    Совсем себя не бережешь!

  6. #5

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от aintrust
    Добавлю только, что этот технический документ можно найти здесь: SubVirt: Implementing malware with virtual machines. 14 листов приятного чтения на ночь...
    Чтиво хорошее, я тоже этот PDF недавно читал. Но не такая уж это невидимая штука ... Запуститься то зловред первично как-то должен - значит, как минимум файл на диске + автозапуск.
    Последний раз редактировалось Зайцев Олег; 13.03.2006 в 13:06.

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    419
    Цитата Сообщение от Зайцев Олег
    Чтиво хорошее, я тоже этот PDF недавно читал. Но не такая уж это невидимая штука ... Запуститься то зловред первично как-то должен - значит, как минимум файл на диске + автозапуск.
    Ты, по-моему, немного недопонял того, что прочитал. Там же идёт речь о модификации MBR либо загрузочной записи ОС! И нет никакого файла на диска, равно как и регистрации автозапуска, виртуальную машину можно записать в скрытый раздел диска. А если ещё прицепить ACPI-дыру к этому руткиту- то всё, только перепрошивка BIOS (если он не дуальный) + загрузка с CD спасёт пользователя. Так что только проактивная защита рулит в этом случае, всё остальное сможет только нервно курить в сторонке.
    http://www.softsphere.com - DefenseWall, DefencePlus

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от rav
    Ты, по-моему, немного недопонял того, что прочитал. Там же идёт речь о модификации MBR либо загрузочной записи ОС! И нет никакого файла на диска, равно как и регистрации автозапуска, виртуальную машину можно записать в скрытый раздел диска. А если ещё прицепить ACPI-дыру к этому руткиту- то всё, только перепрошивка BIOS (если он не дуальный) + загрузка с CD спасёт пользователя. Так что только проактивная защита рулит в этом случае, всё остальное сможет только нервно курить в сторонке.
    Как раз понял - я просто знаю, как много современных зверей использует размещение себя в Bios и MBR Т.е. в теории это возможно (в чистой теории), а на практике - возникнет масса проблем и сложностей. Еще год назад eEye была анансирована идея руткита, который размещается в MBR и патчил низкоуровневые компоненты на лету, в момент их загрузки - они не поленились нарисовать презентацию на 46 листов и приложить исходники на asm ... но идея не прижилась из за сложности инсталляции и реализации.

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Цитата Сообщение от Зайцев Олег
    Как раз понял - я просто знаю, как много современных зверей использует размещение себя в Bios и MBR Т.е. в теории это возможно (в чистой теории), а на практике - возникнет масса проблем и сложностей. Еще год назад eEye была анансирована идея руткита, который размещается в MBR и патчил низкоуровневые компоненты на лету, в момент их загрузки - они не поленились нарисовать презентацию на 46 листов и приложить исходники на asm ... но идея не прижилась из за сложности инсталляции и реализации.
    Я бы не смешивал все в одну кучу: и модификацию MBR (или ее отсутствие - eEye BootRoot все-таки не размещался в MBR, если уж быть точным!), и модификацию BIOS (в любом виде), и виртуализацию разной степени... и т.д. и т.п. Ясно одно - создание полноценного и качественного руткита, использующего технологию VMBR - очень непростое и затратное занятие, а стоит ли такая игра свеч? Маловероятно, что такие руткиты появятся на рынке в ближайшее время, если появятся ITW вообще...

    А вот и мнение Greg Hoglund: VMBR's a threat? Not really.

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    419
    Цитата Сообщение от Зайцев Олег
    Как раз понял - я просто знаю, как много современных зверей использует размещение себя в Bios и MBR Т.е. в теории это возможно (в чистой теории), а на практике - возникнет масса проблем и сложностей. Еще год назад eEye была анансирована идея руткита, который размещается в MBR и патчил низкоуровневые компоненты на лету, в момент их загрузки - они не поленились нарисовать презентацию на 46 листов и приложить исходники на asm ... но идея не прижилась из за сложности инсталляции и реализации.
    Олег, смотри. Если мы берём массовый сектор- то да, все эти прибабахи нафиг не нужны, там даже если и стоит хоть что-нибыдь, то базы этого чего-нибудь не обновлялись с момента установки. И защита протыкается с полпинка. НО! Если мы посмотрим рынок адресных атак на хорошо защищённые корпоративные тачки с целью похищения конфиденциальной информации, то это как раз то, что доктор прописал- хрен потом найдёшь и вычистишь! Да и затраты на программера экстра-класса, который всё это реализует, в данном секторе не выглядят такими уж большими. Прибыль на порядки больше!
    http://www.softsphere.com - DefenseWall, DefencePlus

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    Цитата Сообщение от rav
    ...
    Да и затраты на программера экстра-класса, который всё это реализует, в данном секторе не выглядят такими уж большими. Прибыль на порядки больше!
    ... Что-то сомневаюсь я в таких сценариях - сложные методики обычно редко приводят к успеху. Если атака направленная, то за эти деньги проще и эффективнее купить инсайдера.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от aintrust
    ... Что-то сомневаюсь я в таких сценариях - сложные методики обычно редко приводят к успеху. Если атака направленная, то за эти деньги проще и эффективнее купить инсайдера.
    Вот именно - согласен на 100% и поддерживаю. Направленные действия против некоей компании с применением инсайдера дает практически гарантированный результат, заказ разработки некоего сложного заказного ПО - не факт ... тем более что этот ПО еще как-то нужно внедрить на защищенные ПК, и как-то получить собранные данные.

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    294
    А вот и забавная реакция финской антивирусной компании F-Secure: An Old Idea Returns for Building a Better Rootkit.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    Руткит SubVirt не послужит вирусописателям

    В начале марта корпорация Microsoft объявила о создании принципиально нового руткита, практически не поддающегося обнаружению. Руткит под названием SubVirt был создан в лабораториях Microsoft Research совместно с исследователями Мичиганского университета. SubVirt использует уязвимости виртуальных машин ОС Linux и Windows для запуска вредоносного кода, что делает руткит практически необнаружимым для стандартного антивирусного ПО. Возьмут ли новую технологию на вооружение вирусописатели, комментирует вирусный аналитик "Лаборатории Касперского", кандидат технических наук Юрий Машевский:

    "Написание руткита, подобного SubVirt, который будет виртуализировать работу операционной системы, действительно совершенно реально, но крайне трудоёмко. По сложности эта работа сопоставима с созданием операционной системы. Очевидно, что большинство вирусописателей этим заниматься не будут в силу трудоёмкости задачи, требующей обширных знаний как в области программирования, так и в аппаратном устройстве компьютера. Следует отметить, что возможность создания такого руткита рассматривалась экспертами, как вполне реальная и ранее. Поэтому SubVirt можно оценивать с точки зрения ИТ-безопасности, как концептуальную разработку, призванную доказать жизнеспособность такого подхода. Однако данный метод построения руткитов вряд ли найдет практическое применение в среде вирусописателей, поскольку требует для своей реализации огромных интеллектуальных и временных затрат, несопоставимых с любым конечным результатом".

    compulenta.ru

  16. #15
    Visiting Helper Репутация Репутация Аватар для orvman
    Регистрация
    08.04.2005
    Сообщений
    533
    Вес репутации
    51
    http://virusinfo.info/showthread.php?t=4963 - тоже самое, что я и говорил в своей цитате.
    Руткит под названием SubVirt был создан в лабораториях Microsoft Research
    И к чему бы это? Угадайте с одной попытки.
    Неофициальный форум Outpost Firewall http://forum.five.mhost.ru

Похожие темы

  1. Обсуждение виртуальных машин
    От Shadow[13] в разделе Microsoft Windows
    Ответов: 17
    Последнее сообщение: 14.12.2007, 02:15
  2. Хакеры встраивают в злонамеренный код детекторы виртуальных машин
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 3
    Последнее сообщение: 23.11.2006, 15:00

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01605 seconds with 16 queries