Blue Pill — кодовое название руткита, основанного на виртуализации x86 . Blue Pill изначально требовала поддержки виртуализации AMD-V (Pacifica), но позже была портирована и для поддержки Intel VT-x (Vanderpool). Он был разработан Джоанной Рутковской и первоначально продемонстрирован на брифинге Black Hat 3 августа 2006 года с эталонной реализацией для ядра Microsoft Windows Vista .
Название является отсылкой к концепции красной и синей таблеток из фильма «Матрица» 1999 года .
Концепция Blue Pill заключается в том, чтобы перехватить работающий экземпляр операционной системы, запустив тонкий гипервизор и виртуализировав под ним остальную часть машины. Предыдущая операционная система по-прежнему сохраняла существующие ссылки на все устройства и файлы, но почти все, включая аппаратные прерывания, запросы данных и даже системное время, могло быть перехвачено (и отправлено ложный ответ) гипервизором. Первоначальная концепция Blue Pill была опубликована другим исследователем из IEEE Oakland в мае 2006 года под названием VMBR (руткит на основе виртуальных машин). [1]
Рутковска утверждает, что, поскольку гипервизор может обмануть любую программу обнаружения, такая система может быть «на 100% необнаружимой». Поскольку виртуализация AMD по своей конструкции является бесшовной, виртуализированный гость не должен иметь возможности спрашивать, является ли он гостем или нет. Таким образом, единственный способ обнаружить Blue Pill — это если реализация виртуализации не работает должным образом. [2]
Эта оценка, повторенная в многочисленных статьях в прессе, оспаривается: AMD выступила с заявлением, отвергающим утверждение о полной необнаружимости. [3] Некоторые другие исследователи безопасности и журналисты также отвергли эту концепцию как неправдоподобную. [4] Виртуализацию можно обнаружить с помощью временной атаки, основанной на внешних источниках времени. [5]
В 2007 году на конференции Black Hat в 2007 году группа исследователей предложила Рутковской противопоставить Blue Pill их программному обеспечению для обнаружения руткитов, [6] но сделка была сочтена несостоявшейся после того, как Рутковска запросила финансирование в размере 384 000 долларов США в качестве предварительного условия для вступления в программу. соревнование. [7] Рутковская и Александр Терешкин опровергли утверждения недоброжелателей во время последующего выступления Black Hat, утверждая, что предложенные методы обнаружения были неточными. [8]
Исходный код Blue Pill с тех пор был опубликован [9] [10] под следующей лицензией: Любое несанкционированное использование (включая публикацию и распространение) этого программного обеспечения требует действующей лицензии от владельца авторских прав. Это программное обеспечение было предоставлено для использования только в образовательных целях во время тренингов и конференций Black Hat. [11]
Red Pill — метод обнаружения присутствия виртуальной машины, также разработанный Джоанной Рутковской . [12]
Рутковска [...] хочет, чтобы ее команде из двух человек платили 384 000 долларов (200 долларов в час каждому для двух человек, работающих полный рабочий день в течение шести месяцев) [...] Томас Птачек из Matasano, член испытательной команды, предоставляет это Уместный ответ: «Зачем нам платить вам 384 000 долларов за покупку руткита, который, как мы уже знаем, мы можем обнаружить?»
{{cite web}}
: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )