mboost-dp1

unknown

Det ultimative rootkit

- Via eWeek - , redigeret af Pernicious

Sikkerhedsforskeren Joanna Rutkowska, har opfundet en teknologi kaldet Blue Pill, der skjuler software 100% fra operativsystemet.

Blue Pill fungerer ved at udnytte virtualiseringsteknologien i AMD processorer, kaldet SVM/Pacifica. Ved at lave en meget tynd hypervisor, kan Blue Pill skjule sig fuldstændigt fra at blive opdaget. Kun hvis der er en fejl i selve SVM/Pacifica teknologien, kan Blue Pill findes.

Blue Pill er ikke afhængig af sikkerhedshuller eller lignende i operativsystemer. Det er derfor muligt at bruge Blue Pill, i alle operativsystemer der understøtter x86-64 platformen.





Gå til bund
Gravatar #1 - NeoNmaN
30. jun. 2006 13:14
Shit man :/ det er ikke lige den mest heldige metode.....
Gravatar #2 - Cyberguyen
30. jun. 2006 13:15
Fantastisk Matrix navn til en teknologi som sikkert bliver vores værste mareridt.

Må håbe AMD hurtigt finder en metode til at forhindre den slags og laver deres CPU'er om.
Gravatar #3 - NeoNmaN
30. jun. 2006 13:22
Er det et general problem eller kun for AMD cpus enligt? :) de snakker nermlig kun om AMD men næver x64 cpus
Gravatar #4 - TullejR
30. jun. 2006 13:23
"x64" gør altså ondt at læse ;)
Gravatar #5 - dynamism
30. jun. 2006 13:30
Blue Pill er specifik for AMDs x64 processorer med Pasifica. Men det er vel bare et spørgsmål om tid, før det også er tilgængeligt til andre processorer med en tilsvarende teknologi...
Gravatar #6 - coday
30. jun. 2006 13:34
Vil det sige at hvis´du formatere så er den der stadig?
Gravatar #7 - Christ Superstar
30. jun. 2006 13:41
Så uanset om man kører Linux eller Windows, kan man være enige for en gangs skyld og sige "Shit!".
Gravatar #8 - Eiffel
30. jun. 2006 13:44
Så er vi jo nød til at lave en timing profile scanner som kan advare hvis processoren laver noget udenfor OS. Det må jo nødvendigvis tage tid at afvikle. Det bedste af det er at jo større koden er jo nemmere er den at afsløre.
Gravatar #9 - Eiffel
30. jun. 2006 13:47
#6
Nej. Der gemmes ikke data i CPU under en power off, så hvis du formatere og genstarter er maskinen ren.
Teoretisk set skal du slukke og vente 5 sec inden du tænder igen, men jeg tvivler på at der er nogen der i praksis kan udnytte et memmory storage under reboot.
Gravatar #10 - Cyberguyen
30. jun. 2006 13:51
#6
Nej den er væk efter en formatering.

Men man formaterer jo ikke sin computer hver dag, så den kan jo ligge og hygge sig i ganske lang tid uden at det bliver opdaget.

Det virker ved at softwaren gemmer sig på det aktive system.
Så man kan boote på et en anden partition som Blue Pill ikke har kompromiteret, foretage en scan af disken og finde den.
Gravatar #11 - Jace
30. jun. 2006 13:54
Er det alle AMD processorer der understøtter den teknologi som bliver udnyttet her?

Hvis nej, hvordan tjekker man om man er i farezonen?
Gravatar #12 - HashKagen
30. jun. 2006 14:01
Jeg har altid sagt at de værste virusser og lignende er og bliver hardwarebaserede, de går fra den digitale verden til noget hardwarebaseret som du ligeså godt kunne sidde med fysisk i dine hænder, der begynder vi at nærme os en skræmmende virkelighed.

Alt kan omgåes, håber snart nogle bryder dette, ellers investerer jeg ikke i et produkt som dette.
Gravatar #13 - ztyle
30. jun. 2006 14:03
#6
format x: /u, så bliver system koderne også formateret, og så holde powerknappen inde i 10 sek. eller riv strømmen til compen, så burde du være sikker på der ikke er nogle vira'er

#Topic
Det var jo kun et spørgsmål om tid, før der var en selvoptaget idiot, der lavede en sådanne vira, indfør dødsdom til sådanne menesker
Gravatar #14 - Montago.NET
30. jun. 2006 14:09
Ihhh... hvorfor opfinder folk sådan noget lort !!
Gravatar #15 - WiD
30. jun. 2006 14:19
Jeg er pisse ligeglad om den er umulig at spore i et system. Hvis det kommer frem at en eller anden virksomhed/organisation i al hemmelighed har installeret det på min computere i form af nyt software/update så sagsøger jeg dem fandme... De burde have lært det efter episoden med Sony.

Der skal stå klart og tydeligt hvis sådan noget lægges på computeren!
Gravatar #16 - Lobais
30. jun. 2006 14:19
Super rootkit -> Accept af hardware baseret antivirus -> Indsmuling af hardware baseret DRM -> Verdens undergang.
Gravatar #17 - Cyberguyen
30. jun. 2006 14:35
For det første er det ikke et virus

For det andet udnyttes der bare en funktionalitet, som gør at det bedre kan gemme sig end andre tilsvarende root-kits.

Jeg ved slet ikke hvad det er for dommedags proftier som nogle forestiller jer? Jorden går ikke under af den grund, hardwaren er ikke påvirket på nogen måde.

For det tredie, rootkits skal jo først installeres på computeren før de er usynlige, det forhindrer antivirus software.

For det fjerde er de fleste rootkits i forvejen usynlige for det meste scannersoftware.

Vi får sikkert bare en ny routine i antivirus on demand scanneren, som booter maskinen før den kører.
Gravatar #18 - Redeeman
30. jun. 2006 15:04
#7:
ikke helt, du skal jo stadig have installeret skidtet..

#3:
måske dette kun går ud over AMD AM2 cpu'er, men intel har lignende teknologi, som kunne udnyttes på samme måde..
og desuden kan man jo godt finde ud af om man har det, dog måske ikke med sit system kørende, bare boot en livecd, og analyser ens OS...

#11:
kun dem med socket AM2

#13:
ehm... du er syg..
Gravatar #19 - lorric
30. jun. 2006 15:34
Det er ikke en virus, det er et proof-of-concept lavet af en security medarbejder, så slå nu koldt blod i vandet.
Gravatar #20 - BJack
30. jun. 2006 15:40
#2 De kunne jo også have kaldt den skynet ;)
Gravatar #21 - sKIDROw
30. jun. 2006 15:52
Syntes det her citat siger det meste:

I think computer viruses should count as life. I think it says something about human nature that the only form of life we have created so far is purely destructive. We've created life in our own image.

Stephen Hawking (1942 - )
Gravatar #22 - Lobais
30. jun. 2006 20:04
#21 Alt liv er destruktivt af natur.
Gravatar #23 - Hubert
30. jun. 2006 20:41
#7

Hvis det ikke var fordi at rootkits ikke var windows only ville du da have ret..
Gravatar #24 - DUdsen
30. jun. 2006 21:28
har jeg forstået det ret at det den gør ikke er at sjkule en OS process men faktisk udnytter virtualliseringsteknologien til at eksekvere et parelellelt microOS.

Jeg kan godt se hvordan det kan lade sig gøre at opnå fuld HW adgang via virtualiserings hardware, men hvordan kan sådan en ting interferere med OS'et, ligger det sig under det primære OS sådan at de primære OS fungere som en klient process af det nye microOS?

Som jeg forstår det er blue pill netop ikke et rootkit da det ikke ændre en enkelt bit i nogle dele af OS'et, men overtager den hardware OS'et komunikere med omverdenen, DVS, CPU, netkort hardisk osv.

Hvordan faen udnytter man den slags til andet end at drive botnets der nemt kan detekteres via eksterne firewalls?
Gravatar #25 - drbravo
30. jun. 2006 22:30
#21
Det mest filosofiske er næsten at hawking er født i '42... :O

#22
Hvad med blomster? De virker da ikke så destruktive..

#24
Private kører meget sjældent eksterne firewalls..
Gravatar #26 - sKIDROw
1. jul. 2006 00:05
#25 drbravo

Flere og flere bruger en eller anden form for NAT router, hvilket er et godt skridt i den rigtige retning. (Selvom det IKKE er en egentlig firewall.)
Gravatar #27 - Odin
1. jul. 2006 01:11
uhm, ny vinkel :p

Brug dette til snyd i spil som WoW :p hvis det 100 % usynlig sa har du mulighed for alt i online spil :p (alt clientside self. ) men i hvert fald ting som rogues/druids i stealth kan blive afsloeret :p
Gravatar #28 - bufdaemon
1. jul. 2006 06:49
Udover at bruge cpu, som måske kan måles, må den vel også bruge harddiskplads. Man kan vel se om der er lavet en ny partition, køre noget IDS-like, der tjekker om ændrede filer/diskplads rundt omkring osv.


#25 mælkebøtter og tidsler kvæler ret meget i min have ;)
Gravatar #29 - DUdsen
1. jul. 2006 09:16
#25 og #26 en SOHO router som f.eks. linksys og asus med en linux kerne er kun en firmware patch væk fra at værre en state of the art firewall, faktisk har de nogle af de features, man nårmalt finder i firewalls, men ja det er ikke ting de fleste af deres kunder ved hvordan man bruger.

#28 det er som jeg forstår det det geniale ved at inficere hardware frem for OS'et, OS'et vil skulle sende alle forespørgsler om ændrede filer igennem blue pill, der så kan lyve over for windows, men det er altså kun hvis min umidbare ide om hvad blue pill gør er korekt.

#22 blomster er da de største massemordere, da de første planter kom frem slog de ca 95% af alt eksisterende liv ijæl, på langt sigt kom der rovæsener til der levede af blomsterne så balancen kunne genoprettes en smule men...
Gravatar #30 - Saxov
1. jul. 2006 11:07
#23
Ja, rootkit conceptet er lavet til windows, men som der står i artiklen
Rutkowska stressed that the Blue Pill technology does not rely on any bug of the underlying operating system. "I have implemented a working prototype for Vista x64, but I see no reasons why it should not be possible to port it to other operating systems, like Linux or BSD which can be run on x64 platform," she added.
Så er det bare et valg, og konceptet kan sagtens bruges mod *nix også.

#24,
Det fungere som et VMware.
Dvs. normalt når dit program skal fx checke diskplads, spørger det os'et som så sender en trap til din CPU, der så afvikler noget kode, der igen spørger OS'et (for at finde ud af ting som fx filsystem osv), resultatet bliver sendt tilbage gennem CPU'en og op til OS'et og vidre ud til dit program.
Det Rootkitet gør, er at ligge sig ind mellem CPU og OS'et, hvilket resultere i at det kan ændre forspørgelserne der kommer fra CPU til OS og fra OS til CPU, samt det kan ændre resultatet der bliver sendt tilbage.
Teknisk set kan du lave et rootkit der hvergang du skifter mappe smider dig hen i /tmp/.
Gravatar #31 - Hubert
1. jul. 2006 11:10
#30

Jeg burde da vist have formuleret mig anderledes. Et rootkit har aldrig kun været noget der har været at finde på windows systemer.
Gravatar #32 - ZOPTIKEREN
1. jul. 2006 11:20
#21
Måske skulle han bare holde sig til teoretisk fysik så. Nu er der ingen enighed om hvad liv er, men i den almene forståelse af hvad liv er, så er liv noget som har en metabolisme og kan undergå darwiansk evolution (udvikle sig via naturlig selektion) og replikere sig selv. En computervirus opfylder et af kravene og er derfor ikke en levende organisme i min verden.
Gravatar #33 - rmariboe
2. jul. 2006 21:36
Jeg sy's bare, at det er meget cool, at det er en chick, der har lavet det ;)
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login