微波EDA网,见证研发工程师的成长!
首页 > 通信和网络 > 通信网络业界新闻 > Rootkit猎手陷入猫捉老鼠的游戏

Rootkit猎手陷入猫捉老鼠的游戏

时间:07-03 来源:TechTarget 点击:
没有任何恶意软件是不可发现的,虚拟rootkit也不例外。这是8月1日黑帽美国会议上发出的明确的信息。一个由知名的安全研究人员组成的小组主持召开了一个会议,介绍他们认为能够有效地发现虚拟化的rootkit的方法,如Joanna Rutkowska的著名的"蓝色药丸"或者Dino Dai Zovi的"Vitriol"。这些研究人员简要介绍了检测rootkit活动踪迹的许多技术,包括发现侧信道攻击、管理程序瑕疵和由恶意软件引起的错误等。

  Root Labs主要分析师和这个会议的共同主持人Nate Lawson说,你基本上陷入了猫捉老鼠的游戏中。在这个游戏中,攻击者设计一些代码,你寻找那个代码的特征并且发现它,然后再在一个大圈子里重复所有这些事情。我们以前看到过这个东西,人们总是能找到对应的措施。我们预计这个事情将以同样的方式继续下去。

  参加演示的人还有位于纽约的Matasano安全公司的Thomas Ptacek和赛门铁克公司的Dai Zovi和Peter Ferrie。他们讲话的重点是介绍"蓝色药丸"的属性和他们预测"蓝色药丸"在攻破的系统中的行为方式。波兰著名研究人员Rutkowska在2006年的黑帽会议上谈了这种管理程序rootkit。她的讲话引起了轩然大波。但是,她从那以后没有多谈"蓝色药丸"的确切性能和功能。她声称"蓝色药丸"是完全检测不到的说法受到了其他研究人员的批评。

  Ptacek说,我们对揭露这个说法的真相非常感兴趣。

  这些演示者对"蓝色药丸"的批评是它试图模仿一台x86机器的整个架构,而不是像常规的内核模式rootkit那样仅模仿操作系统的某一部分。Lawson说,这种野心勃勃的设计确实让"蓝色药丸"不可发现。因为它必须要模仿许多不同的组件,它肯定要在某个地方留下踪迹。

  Lawson介绍的检测虚拟化rootkit的方法之一是观察翻译后援存储器(TLB)的变化,翻译后援存储器是CPU的一个缓存。当某些东西引起一个虚拟机退出的时候,这个管理程序就在TLB中留下了它出现的踪迹。因此,检测一个管理程序rootkit的方法就是引起它退出,然后读取TLB中的数据,寻找那里的变化。

  但是,Lawson和Ptacek承认,没有办法阻止恶意软件作者编写检测"rootkit检测器"的功能。Lawson说,这就回到了人们熟悉的攻击者和防御者之间的猫捉老鼠的游戏。

  Lawson说,你最后的结果是与我们所看到的杀毒引擎和病毒一样的圈子。我们在那里寻找你最新版本的代码,找到方法检测它,然后你写一个新版本的病毒,我们再从头开支。这个现实是没有绝对的游戏终点。恶意软件作者不可能写出100%检测不到的东西。我也不可能写出能够检测出所有恶意软件的检测器。

  这个小组的研究人员还讨论了他们自己的检测软件的一些细节。这个检测软件名为"Samsara",将在几个星期后发布。他们将免费提供这个工具的代码。他们还将为了测试制作一个基于硬件的原型rootkit。

  这个rootkit会议原来打算进行现场演示。在这个演示中,Rutkowska向几台干净的Vista机器装载"蓝色药丸"。Ptacek和参加演示的同伴将向所有的电脑装载检测工具Samsara并且设法查出这个rootkit。但是,Rutkowska不愿意进行这种演示,而是坐到了观众席上。

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top