Letta 2001 volte 2 agosto 2007 alle 20.46 di netquik Fonte: eweek.com
Black Hat: Rootkit VM e Rilevamento
LINK:
Durante la conferenza dedicata alla sicurezza Black Hat USA 2007 (Briefings, 1-2 Agosto), è andato in scena un dibattito sulle possibilità di rilevare i malware di nuova generazione basati sulle emrgenti tecnologie di virtualizzazione. Abbiamo già parlato precedentemente di questo nuovo di tipo di minaccia che si affaccia nel panorama della sicurezza, riportando le notizie su "Blue Pill", un prototipo di rootkit basato su macchina virtuale (sfruttando la tecnologia AMD SVM/Pacifica), sviluppato da Joanna Rutkowska, ricercatrice che studia gli stealth malware per l'azienda di sicurezza COSEINC e di altri simili codici, come "Vitriol", un rootkit HVM-based che sfrutta l'estensioni di virtualizzazione hardware Intel VT-x, realizzato da Dino Dai Zovi, dirigente dell'azienda di penetration-testing Matasano Security. Maggiori dettagli nelle news precedenti.

links e news Vista: Corretta Falla Pagefile, Ma…  -  BlueHat v4 e "Vitriol" HVM-Rootkit  -  Altre 

In questi mesi è andato in scena un dibattito tra questi esperti di sicurezza riguardo le possibilità di rilevare questo tipo di malware, solitamente definiti come "impossibili da isolare" su una macchina infetta. Nello specifico, a fine Giugno, Matasano Security aveva lanciato una sfida a Rutkowska, affermando di essere in grado, sfruttando tecniche di "timing determination" e simili, di riconoscere una macchina infetta con Blue Pill. Questa particolare sfida non è stata poi portata sul campo, perché i ricercatori coinvolti non si sono messi d'accordo sulle "regole da rispettare". Tuttavia la discussione ed i due punti di vista (Rutkowska afferma che è molto difficile se non potenzialmente impossibile rilevare malware simili al suo prototipo) sono stati portati sullo stage del Black Hat USA 2007.

Nella sua presentazione, "Don't Tell Joanna, The Virtualized Rootkit Is Dead", i ricercatori di Matasano Security hanno descritto nel dettaglio come sia possibile utilizzare dei contatori esterni al sistema per rilevare un rootkit virtualizzato, andando a calcolare l'utilizzo delle risorse della CPU ed altri footprint. Rutkowska ha però affermato, nella sua presentazione "IsGameOver(), anyone?" che queste tecniche possono essere allo stesso modo rese vane dall'implementazione del malware stesso. Secondo Rutkowska infatti, tramite una tecnica, denominata non a caso "Blue Chicken", il rootkit stesso è in grado di rilevare i tentativi di "timing determination" disattivandosi temporaneamente per evitare il rilevamento. Dato che l''hypervisor si piazza nel mezzo, emulando il sistema, è anche in grado di determinare se qualcuno sta tentando di effettuare un attacco di timing contro il rootkit. La ricercatrice evidenzia che ovviamente non è sempre possibile determinare quando un simile attacco poi viene arrestato. Il rootkit può tuttavia attendere. Tutti gli attacchi di timing presentano infatti un lato negativo: sono "processor-intensive" e utilizzano molte risorse CPU (fino al 50%), quindi nono possono essere eseguiti continuamente.

Rutkowska ha anche mostrato come Blue Pill possa essere installato su un sistema tramite driver vulnerabili (e secondo la ricercatrice non è difficile trovarli) oppure tramite driver appositamente studiati per lo scopo. Infatti, secondo Rutkowska, è facile registrare un driver nocivo. Alla ricercatrice sono bastate due ore e $250, e sicuramente se avesse pubblicato questo driver sul suo sito questo si sarebbe rivelato un download molto popolare (essendo pronto per essere inserito ed accettato in Windows Vista). Rutkowska ha anche mostrato gli sviluppi fatti in questi mesi sul suo prototipo. La ricercatrice a riscritto interamente il codice del rootkit, includendo una nuova capacità: il supporto per gli ambienti virtualizzati annidati. Se infatti, precedentemente bastava creare un ambiente virtualizzato aggiuntivo nel sistema per rendersi conto di star lavorando già in una macchina virtuale (le simulazioni annidate causano un crash del sistema), ora Blue Pill è in grado di gestire questo scenario (fino a 20 simulazioni annidate).

Bisogna evidenziare che finora non sono stati segnalati prototipi di rootkit VM in-the-wild, realizzati per attaccare i sistemi degli utenti finali. Tuttavia questo tipi di tecnologia sta venendo già discussa negli ambienti underground e sembra che Rutkowska abbia aperto una sorta di "vaso di Pandora", da cui molto probabilmente emergerà una nuova generazione di malware molto minacciosi, in particolare quando Vista sarà adottato più largamente e questi attacchi attireranno (economicamente) l'attenzione dei cybercriminali.
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
DUST FROM THE PAST
Durante la recente conferenza Black Hat Briefings, che ha visto riuniti esperti di sicurezza e hacker per discutere i problemi di sicurezza nei codici software, Joanna Rutkowska, ricercatrice che stud… 6 agosto 2006
Da circa due mesi l'industria della sicurezza e della virtualizzazione sta discutendo su una nuova potenziale minaccia e tecnica malware chiamata "Blue Pill". Blue Pill è un prototipo realizzato da Jo…13 agosto 2006
Entro qualche settimana Microsoft dovrebbe completare il codice del suo nuovo sistema operativo Windows Vista, previsto sul mercato a Gennaio 2007. Dopo aver "portato" il codice del sistema alla confe… 9 ottobre 2006
ULTIME NEWS - BLUE
Durante l'hacker summit semestrale di Microsoft "BlueHat", che si svolgerà dal 26 al 27 Ottobre, verrà mostrato un nuovo concept di rootkit basato su macchina virtuale, un codice potenzialmente in gra…18 ottobre 2006
Nokia ha annunciato ieri la sua nuova tecnologia wireless "open-industry" "Wibree", una iniziativa intesa ad "estendere la connettività locale ai dispositivi di più piccole dimensioni". Secondo l'azie… 4 ottobre 2006
Da circa due mesi l'industria della sicurezza e della virtualizzazione sta discutendo su una nuova potenziale minaccia e tecnica malware chiamata "Blue Pill". Blue Pill è un prototipo realizzato da Jo…13 agosto 2006
 ONLINE
OSPITI 12
UTENTI 0
VISITE OGGI
447
 VISITE TOTALI
5.944.563
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X