Blue Pill - это кодовое название руткита, основанного на виртуализации x86 . Изначально Blue Pill требовала поддержки виртуализации AMD-V (Pacifica), но позже была перенесена и для поддержки Intel VT-x (Vanderpool). Он был разработан Джоанной Рутковской и первоначально продемонстрирован на брифингах Black Hat 3 августа 2006 года с эталонной реализацией ядра Microsoft Windows Vista .
Название является отсылкой к концепции красной и синей пилюли из фильма 1999 года «Матрица» .
Обзор
Концепция Blue Pill заключается в том, чтобы перехватить работающий экземпляр операционной системы, запустив тонкий гипервизор и виртуализируя остальную часть машины под ним. Предыдущая операционная система по-прежнему сохраняла бы существующие ссылки на все устройства и файлы, но почти все, включая аппаратные прерывания, запросы данных и даже системное время, могло быть перехвачено (и отправлен поддельный ответ) гипервизором. Первоначальная концепция Blue Pill была опубликована другим исследователем из IEEE Oakland в мае 2006 года под названием VMBR (руткит на основе виртуальной машины). [1]
Рутковска утверждает, что, поскольку гипервизор может обмануть любую программу обнаружения, такая система может быть «на 100% необнаруживаемой». Поскольку виртуализация AMD является бесшовной по своей конструкции, виртуализированный гость не должен иметь возможность запрашивать, является он гостем или нет. Следовательно, единственный способ обнаружить Blue Pill - это если реализация виртуализации не функционирует должным образом. [2]
Эта оценка, повторенная в многочисленных статьях в прессе, оспаривается: AMD выступила с заявлением, в котором отклонил иск о полной необнаружимости. [3] Некоторые другие исследователи безопасности и журналисты также отвергли эту концепцию как неправдоподобную. [4] Виртуализацию можно было обнаружить с помощью временной атаки, основанной на внешних источниках времени. [5]
В 2007 году группа исследователей предложила Рутковской применить Blue Pill против их программного обеспечения для обнаружения руткитов на конференции Black Hat в том году [6], но сделка была признана неудачной после того, как Рутковска запросила 384000 долларов в качестве предварительного условия для участия в конкурсе. соревнование. [7] Рутковска и Александр Терешкин опровергли утверждения недоброжелателей во время последующей речи Black Hat, утверждая, что предложенные методы обнаружения были неточными. [8]
Исходный код Blue Pill был с тех пор обнародован [9] [10] под следующей лицензией: Для любого несанкционированного использования (включая публикацию и распространение) этого программного обеспечения требуется действующая лицензия от правообладателя. Это программное обеспечение было предоставлено для использования в образовательных целях только во время тренинга и конференции Black Hat. [11]
Красная таблетка
Red Pill - это метод обнаружения присутствия виртуальной машины, также разработанный Джоанной Рутковской . [12]
Рекомендации
- ^ Король, ST; Чен, PM (2006). «SubVirt: внедрение вредоносных программ с виртуальными машинами». Симпозиум IEEE по безопасности и конфиденциальности 2006 г. (S & P'06) . 14 с. doi : 10.1109 / SP.2006.38 . ISBN 0-7695-2574-1.
- ^ Прототип "Blue Pill" создает 100% необнаруживаемое вредоносное ПО , Райан Нарайн, eWeek.com
- ^ Faceoff: AMD против Рутковских Архивированных 2008-05-04 в Wayback Machine , eWeek.com
- ^ Развенчание мифа о голубой таблетке , virtualization.info
- ^ https://archive.today/20120206042114/http://securitywatch.eweek.com/showdown_at_the_blue_pill_corral.html . Архивировано из оригинала на 2012-02-06 . Проверено 20 августа 2007 . Отсутствует или пусто
|title=
( справка ) - ↑ Рутковска сталкивается с проблемой «100% необнаруживаемого вредоносного ПО» , Райан Нарайн, zdnet.com. Архивировано 3 сентября 2009 г., на Wayback Machine.
- ^ Нарайн, Райан (29.06.2007). «Обновление хакерской проблемы Blue Pill: это не годится» . zdnet.com . ZDNet. Архивировано из оригинала на 2009-11-26 . Проверено 24 января 2016 .
Рутковска [...] хочет, чтобы ее команде из двух человек заплатили 384 000 долларов (по 200 долларов в час каждый для двух человек, работающих полный рабочий день в течение шести месяцев) [...] Томас Птачек из Матасано, член команды по испытанию, предоставляет это Удачный ответ: «Зачем нам платить вам 384 000 долларов за покупку руткита, который, как мы уже знаем, мы можем обнаружить?»
- ↑ Разборки в загоне синих таблеток
- ↑ Blue Pill 2007, архивная копия от 5 октября 2009 года, в Wayback Machine.
- ↑ Blue Pill 2008 Архивировано 13 сентября 2011 года в Wayback Machine
- ^ "bluepillproject.org" . 18 апреля 2008. Архивировано из первоисточника 18 апреля 2008 года . Проверено 3 сентября 2017 года .CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
- ^ «Блог | Невидимое» . Архивировано из оригинала на 2007-09-11 . Проверено 11 сентября 2007 .
Внешние ссылки
- Представляем Blue Pill от Джоанны Рутковской
- InternetNews - Blackhat решает проблему с Vista
- В сторону хакеров - Business Week , 10 августа 2006 г.
- тренер Грег Адамс
- Blue Pill , Эпизод 54 подкаста Security Now
- Презентация Black Hat 2006
- Исходный код 2008 г.
- Обнаружение и блокирование синих таблеток, купоросов и т. Д.