http://www.eweek.com/article2/0,1895,1936666,00.asp
Microsoft Research 的白老鼠(Lab rats,穿白袍的研究人員)與密西根大學的結盟合作要建立基於虛擬機器(VM)的 rootkit 原型,這很顯然將會加速惡意軟體的隱匿,這些惡意軟體可以控管那些目標作業系統。這個概念驗證的 rootkit 叫做 SubVirt,透過已知安全漏洞進行攻擊,並且會在Widows 與 Linux 系統底層空降(drops)一個 VMM (virtual machine monitor)
根據 eWEEK 所看見的文件顯示:只要目標作業系統升等為(hoisted) VM,這個 rootkit 將不可能會被偵測,因為這些狀態將無法被目標系統的安全軟體所存取。
這個原型將會在 2006 年稍後舉行的 IEEE Symposium on Security and Privacy 上公開發表。這是微軟總部 Cybersecurity and Systems Management Research Group 的獨創概念。他們是為了 Strider GhostBuster 的 anti-rootkit scanner (http://research.microsoft.com/rootkit/)與 Strider HoneyMonkey exploit detection(http://research.microsoft.com/HoneyMonkey/)的偵查而開發的。
現今,反 rootkit 清除工具透過比對登錄檔以及檔案系統 API 描述來檢查呈現在 user mode 或是 kernel mode 當中的 rootkit。不過這種手法對於那些故意隱藏在無法被掃瞄之處的 rootkit 毫無用處。
研究人員在技術報告當中如此描述攻擊情節:"We used our proof-of concept [rootkits] to subvert Windows XP and Linux target systems and implemented four example malicious services."(我們利用這個概念驗證攻入 Windows XP 以及 Linux 系統,並且植入四個惡意服務的樣本。)
這個與密西根大學共同撰寫的報告寫到:"[We] assume the perspective of the attacker, who is trying to run malicious software and avoid detection. By assuming this perspective, we hope to help defenders understand and defend against the threat posed by a new class of rootkits," (透過這種攻擊,我們希望防禦者能夠瞭解並防守這種新rootkit 的威脅)
虛擬機器是一個在硬體與 "客端"(guest)作業系統之間執行作業系統的例子。因為 VM 位於作業系統的底層因此能夠鬼鬼祟祟的控制上層。
研究人員表示:能夠控制系統底層對於攻守之戰較為有益,如果防禦者的安全服務比惡意軟體更位於底層,那麼安全服務將可以偵測並移除惡意軟體,反之亦然。
該小組表示 SubVirt 計畫在 Linux/VMWare 與 Windows/VirtualPC 這二種平台上研發了rootkit,而且能夠在未被偵測的情況下寫入惡意服務。這份報告顯示要在目標系統上放置基於 VM 的惡意軟體是多麼容易。
舉例來說,一項程式執行漏洞,可以透過操縱系統開機順序來來入侵取得root 或是administrator 權限。一旦 rootkit 被安裝,他可以用有所區分的攻擊 OS 來部署惡意軟體而不被目標 OS 發現(因為目標作業系統在上層,看不見攻擊作業系統)。
研究報告表示:任何在攻擊 OS 當中執行的程式不能夠被看見。這項能在攻擊 OS 當中執行看不見的惡意服務,給入侵者大方使用 user-mode 程式,而不必擔憂被偵測到的自由。
這個小組使用這個原型 rootkit 發展了四種惡意服務,一個網路釣魚網站,一個按鍵記錄器,一個可以掃瞄目標 OS 敏感資料的服務,以及一個反偵測的手段,讓現行的 VM 偵測系統束手無策。
研究人員更利用 VM rootkit 來控制目標系統的啟動方式,它甚至可以用來模擬系統關機或是休眠狀態。
雖然這個 rootkit 在理論上是屬於進供的一方,但研究人員也討論到如何不讓惡意軟體使用 VM 的方法。
這個小組建議,透過硬體偵測是獲得底層控制權並偵測 VM rootkit 的一種方法,並且提到晶片製造商如 Intel, AMD 已經提議的硬體,它能夠被用來發展與部署底層安全軟體,該軟體能位於 VM rootkit 更下層。
另一項研究人員建議的技術是,從一個安全的媒體(例如 CD-ROM, USB 或是網路啟動伺服器)啟動,在 rootkit 之前取得控制權。
一個安全 VMM 亦可以在 OS 啟動之前取得系統的控制權。它也可以在系統執行時取得控制權,並且可以增加檢查功能,以便讓修改啟動程序的 VM rootkit 停止。
研究人員表示:"We believe the VM-based rootkits are a viable and likely threat." "Virtual-machine monitors are available from both the open-source community and commercial vendors ... On today's x86 systems, [VM-based rootkits] are capable of running a target
OS with few visual differences or performance effects that would alert the user to the presence of a rootkit."
※ 相關報導:
* Intel 開發硬體 rootkit 偵測晶片
* 研究人員表示 Rootkits 瞄準 BIOS
* Sony DRM 使用 rootkits?
* 『魔獸世界』因反作弊被列入間諜軟體的行列?
* Sony修補防拷音樂CD
* 『魔獸世界』的駭客利用 Sony BMG 的 rootkit
* Sony DRM rootkits 後續:危險的反安裝程式與 EULA
* 病毒創作者利用 Sony-BMG DRM 安全漏洞大肆進攻
* Sony BMG 取消 CD 版權保護軟體
* 比 rootkits 更糟糕的 Sony-BMG EULA
* Sony 防盜拷 CD 事件愈補愈大洞 有爭論 CD 將下架
* Sony BMG 因間諜軟體的侵害被德州控告
* EFF, Sony BMG 公開新 DRM 安全漏洞
* 國土安全部:Sony rootkit 可能導致立法規範
* 微軟安全產品即將上路
* Windows 嚴重安全漏洞 2006 年大進攻
* MSN 病蟲利用 WMF 漏洞肆虐
* 微軟下週將推出 WMF 漏洞修補程式
* WINE 仍受到 WMF 漏洞影響
* WMF 是微軟的後門?
* 微軟回應 WMF 後門說
* WMF 後門說的內幕
* 微軟開發新作業系統 Singularity