stringtranslate.com

Синяя таблетка (программное обеспечение)

Blue Pill — кодовое название руткита, основанного на виртуализации x86 . Blue Pill изначально требовала поддержки виртуализации AMD-V (Pacifica), но позже была портирована и для поддержки Intel VT-x (Vanderpool). Он был разработан Джоанной Рутковской и первоначально продемонстрирован на брифинге Black Hat 3 августа 2006 года с эталонной реализацией для ядра Microsoft Windows Vista .

Название является отсылкой к концепции красной и синей таблеток из фильма «Матрица» 1999 года .

Обзор

Концепция Blue Pill заключается в том, чтобы перехватить работающий экземпляр операционной системы, запустив тонкий гипервизор и виртуализировав под ним остальную часть машины. Предыдущая операционная система по-прежнему сохраняла существующие ссылки на все устройства и файлы, но почти все, включая аппаратные прерывания, запросы данных и даже системное время, могло быть перехвачено (и отправлено ложный ответ) гипервизором. Первоначальная концепция Blue Pill была опубликована другим исследователем из IEEE Oakland в мае 2006 года под названием VMBR (руткит на основе виртуальных машин). [1]

Рутковска утверждает, что, поскольку гипервизор может обмануть любую программу обнаружения, такая система может быть «на 100% необнаружимой». Поскольку виртуализация AMD по своей конструкции является бесшовной, виртуализированный гость не должен иметь возможности спрашивать, является ли он гостем или нет. Таким образом, единственный способ обнаружить Blue Pill — это если реализация виртуализации не работает должным образом. [2]

Эта оценка, повторенная в многочисленных статьях в прессе, оспаривается: AMD выступила с заявлением, отвергающим утверждение о полной необнаружимости. [3] Некоторые другие исследователи безопасности и журналисты также отвергли эту концепцию как неправдоподобную. [4] Виртуализацию можно обнаружить с помощью временной атаки, основанной на внешних источниках времени. [5]

В 2007 году на конференции Black Hat в 2007 году группа исследователей предложила Рутковской противопоставить Blue Pill их программному обеспечению для обнаружения руткитов, [6] но сделка была сочтена несостоявшейся после того, как Рутковска запросила финансирование в размере 384 000 долларов США в качестве предварительного условия для вступления в программу. соревнование. [7] Рутковская и Александр Терешкин опровергли утверждения недоброжелателей во время последующего выступления Black Hat, утверждая, что предложенные методы обнаружения были неточными. [8]

Исходный код Blue Pill с тех пор был опубликован [9] [10] под следующей лицензией: Любое несанкционированное использование (включая публикацию и распространение) этого программного обеспечения требует действующей лицензии от владельца авторских прав. Это программное обеспечение было предоставлено для использования только в образовательных целях во время тренингов и конференций Black Hat. [11]

Красная таблетка

Red Pill — метод обнаружения присутствия виртуальной машины, также разработанный Джоанной Рутковской . [12]

Рекомендации

  1. ^ Кинг, ST; Чен, премьер-министр (2006). «SubVirt: внедрение вредоносного ПО с помощью виртуальных машин». Симпозиум IEEE по безопасности и конфиденциальности 2006 г. (S&P'06) . стр. 14 стр. doi :10.1109/SP.2006.38. ISBN 0-7695-2574-1. S2CID  1349303.
  2. ^ Прототип «Blue Pill» создает 100% необнаружимое вредоносное ПО [ постоянная мертвая ссылка ] , Райан Нарейн, eWeek.com
  3. ^ Вбрасывание: AMD против Джоанны Рутковской. Архивировано 4 мая 2008 г. на Wayback Machine , eWeek.com.
  4. ^ Развенчание мифа о синих таблетках. Архивировано 14 февраля 2010 г. на Wayback Machine , virtualization.info.
  5. ^ «- Столкновение в загоне для синих таблеток - Наблюдение за безопасностью eWeek» . Архивировано из оригинала 6 февраля 2012 г. Проверено 20 августа 2007 г.
  6. ^ Рутковска сталкивается с проблемой «100% необнаруживаемого вредоносного ПО», Райан Нарейн на zdnet.com. Архивировано 3 сентября 2009 г., на Wayback Machine.
  7. ^ Нарейн, Райан (29 июня 2007 г.). «Обновление о хакерском вызове Blue Pill: это запрещено» . zdnet.com . ЗДНет. Архивировано из оригинала 26 ноября 2009 г. Проверено 24 января 2016 г. Рутковска [...] хочет, чтобы ее команде из двух человек платили 384 000 долларов (200 долларов в час каждому для двух человек, работающих полный рабочий день в течение шести месяцев) [...] Томас Птачек из Matasano, член испытательной команды, предоставляет это Уместный ответ: «Зачем нам платить вам 384 000 долларов за покупку руткита, который, как мы уже знаем, мы можем обнаружить?»
  8. ^ Столкновение в загоне синих таблеток
  9. ^ Blue Pill 2007. Архивировано 5 октября 2009 года в Wayback Machine .
  10. ^ Blue Pill 2008. Архивировано 13 сентября 2011 года в Wayback Machine.
  11. ^ "bluepillproject.org". 18 апреля 2008 г. Архивировано из оригинала 18 апреля 2008 г. Проверено 3 сентября 2017 г.{{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
  12. ^ «Блог | Невидимые вещи» . Архивировано из оригинала 11 сентября 2007 г. Проверено 11 сентября 2007 г.

Внешние ссылки