Rootkit猎手陷入猫捉老鼠的游戏
时间:07-03
来源:TechTarget
点击:
没有任何恶意软件是不可发现的,虚拟rootkit也不例外。这是8月1日黑帽美国会议上发出的明确的信息。一个由知名的安全研究人员组成的小组主持召开了一个会议,介绍他们认为能够有效地发现虚拟化的rootkit的方法,如Joanna Rutkowska的著名的"蓝色药丸"或者Dino Dai Zovi的"Vitriol"。这些研究人员简要介绍了检测rootkit活动踪迹的许多技术,包括发现侧信道攻击、管理程序瑕疵和由恶意软件引起的错误等。
Root Labs主要分析师和这个会议的共同主持人Nate Lawson说,你基本上陷入了猫捉老鼠的游戏中。在这个游戏中,攻击者设计一些代码,你寻找那个代码的特征并且发现它,然后再在一个大圈子里重复所有这些事情。我们以前看到过这个东西,人们总是能找到对应的措施。我们预计这个事情将以同样的方式继续下去。
参加演示的人还有位于纽约的Matasano安全公司的Thomas Ptacek和赛门铁克公司的Dai Zovi和Peter Ferrie。他们讲话的重点是介绍"蓝色药丸"的属性和他们预测"蓝色药丸"在攻破的系统中的行为方式。波兰著名研究人员Rutkowska在2006年的黑帽会议上谈了这种管理程序rootkit。她的讲话引起了轩然大波。但是,她从那以后没有多谈"蓝色药丸"的确切性能和功能。她声称"蓝色药丸"是完全检测不到的说法受到了其他研究人员的批评。
Ptacek说,我们对揭露这个说法的真相非常感兴趣。
这些演示者对"蓝色药丸"的批评是它试图模仿一台x86机器的整个架构,而不是像常规的内核模式rootkit那样仅模仿操作系统的某一部分。Lawson说,这种野心勃勃的设计确实让"蓝色药丸"不可发现。因为它必须要模仿许多不同的组件,它肯定要在某个地方留下踪迹。
Lawson介绍的检测虚拟化rootkit的方法之一是观察翻译后援存储器(TLB)的变化,翻译后援存储器是CPU的一个缓存。当某些东西引起一个虚拟机退出的时候,这个管理程序就在TLB中留下了它出现的踪迹。因此,检测一个管理程序rootkit的方法就是引起它退出,然后读取TLB中的数据,寻找那里的变化。
但是,Lawson和Ptacek承认,没有办法阻止恶意软件作者编写检测"rootkit检测器"的功能。Lawson说,这就回到了人们熟悉的攻击者和防御者之间的猫捉老鼠的游戏。
Lawson说,你最后的结果是与我们所看到的杀毒引擎和病毒一样的圈子。我们在那里寻找你最新版本的代码,找到方法检测它,然后你写一个新版本的病毒,我们再从头开支。这个现实是没有绝对的游戏终点。恶意软件作者不可能写出100%检测不到的东西。我也不可能写出能够检测出所有恶意软件的检测器。
这个小组的研究人员还讨论了他们自己的检测软件的一些细节。这个检测软件名为"Samsara",将在几个星期后发布。他们将免费提供这个工具的代码。他们还将为了测试制作一个基于硬件的原型rootkit。
这个rootkit会议原来打算进行现场演示。在这个演示中,Rutkowska向几台干净的Vista机器装载"蓝色药丸"。Ptacek和参加演示的同伴将向所有的电脑装载检测工具Samsara并且设法查出这个rootkit。但是,Rutkowska不愿意进行这种演示,而是坐到了观众席上。
Root Labs主要分析师和这个会议的共同主持人Nate Lawson说,你基本上陷入了猫捉老鼠的游戏中。在这个游戏中,攻击者设计一些代码,你寻找那个代码的特征并且发现它,然后再在一个大圈子里重复所有这些事情。我们以前看到过这个东西,人们总是能找到对应的措施。我们预计这个事情将以同样的方式继续下去。
参加演示的人还有位于纽约的Matasano安全公司的Thomas Ptacek和赛门铁克公司的Dai Zovi和Peter Ferrie。他们讲话的重点是介绍"蓝色药丸"的属性和他们预测"蓝色药丸"在攻破的系统中的行为方式。波兰著名研究人员Rutkowska在2006年的黑帽会议上谈了这种管理程序rootkit。她的讲话引起了轩然大波。但是,她从那以后没有多谈"蓝色药丸"的确切性能和功能。她声称"蓝色药丸"是完全检测不到的说法受到了其他研究人员的批评。
Ptacek说,我们对揭露这个说法的真相非常感兴趣。
这些演示者对"蓝色药丸"的批评是它试图模仿一台x86机器的整个架构,而不是像常规的内核模式rootkit那样仅模仿操作系统的某一部分。Lawson说,这种野心勃勃的设计确实让"蓝色药丸"不可发现。因为它必须要模仿许多不同的组件,它肯定要在某个地方留下踪迹。
Lawson介绍的检测虚拟化rootkit的方法之一是观察翻译后援存储器(TLB)的变化,翻译后援存储器是CPU的一个缓存。当某些东西引起一个虚拟机退出的时候,这个管理程序就在TLB中留下了它出现的踪迹。因此,检测一个管理程序rootkit的方法就是引起它退出,然后读取TLB中的数据,寻找那里的变化。
但是,Lawson和Ptacek承认,没有办法阻止恶意软件作者编写检测"rootkit检测器"的功能。Lawson说,这就回到了人们熟悉的攻击者和防御者之间的猫捉老鼠的游戏。
Lawson说,你最后的结果是与我们所看到的杀毒引擎和病毒一样的圈子。我们在那里寻找你最新版本的代码,找到方法检测它,然后你写一个新版本的病毒,我们再从头开支。这个现实是没有绝对的游戏终点。恶意软件作者不可能写出100%检测不到的东西。我也不可能写出能够检测出所有恶意软件的检测器。
这个小组的研究人员还讨论了他们自己的检测软件的一些细节。这个检测软件名为"Samsara",将在几个星期后发布。他们将免费提供这个工具的代码。他们还将为了测试制作一个基于硬件的原型rootkit。
这个rootkit会议原来打算进行现场演示。在这个演示中,Rutkowska向几台干净的Vista机器装载"蓝色药丸"。Ptacek和参加演示的同伴将向所有的电脑装载检测工具Samsara并且设法查出这个rootkit。但是,Rutkowska不愿意进行这种演示,而是坐到了观众席上。
- 全面解析恶意软件 从rootkit到bootkit(08-24)
- 未来安全风险仍在增加(04-30)
- 调查:至少15.6%电脑受到恶意软件感染(10-05)
- 俄罗斯成恶意软件第一生产国(01-22)
- 黑客为Rootkit找到新藏身之所(04-13)