[NEWS] Dibattito: Blue Pill e Malware Virtualizzati

[c.m.g]

Giorni fa abbiamo parlato del dibattito in corso sulle possibilità di rilevare i malware di nuova generazione basati sulle tecnologie di virtualizzazione. In questi giorni che seguono la conferenza dedicata alla sicurezza Black Hat USA 2007 sono emersi commenti e dettagli su ciò che dobbiamo aspettarci in futuro a questo riguardo, sulla scia dell'attenzione data dai news media al dibattito.

Abbiamo più volte parlato di questo nuovo di tipo di minaccia che si affaccia nel panorama della sicurezza, riportando le notizie su "Blue Pill", un prototipo di rootkit basato su macchina virtuale (sfruttando la tecnologia AMD SVM/Pacifica), sviluppato da Joanna Rutkowska, ricercatrice che studia gli stealth malware, e di altri simili codici, come "Vitriol", un rootkit HVM-based che sfrutta l'estensioni di virtualizzazione hardware Intel VT-x, realizzato da Dino Dai Zovi, dirigente dell'azienda di penetration-testing Matasano Security. Come evidenziato nella news precedente, in questi mesi è andato in scena un dibattito tra questi esperti di sicurezza riguardo le possibilità di rilevare questo tipo di malware, spesso definiti come "impossibili da isolare".

Segnaliamo due nuovi interessanti interventi che fanno seguito alle discussioni portate sullo stage del Black Hat USA 200: Rutkowska ha pubblicato un commento sul suo blog InvisibleThings per fare ulteriore chiarezza sulla sua presentazione e Ahmed Sallam, ricercatore di McAfee, ha pubblicato un lungo intervento sul blog ufficiale del McAfee Avert Labs, in cui offre un riassunto dell'intero dibattito e annuncia una metodologia efficace per la rilevazione dei malware VM simili a Blue Pill.

Nel suo blog-post, Rutkowska ha evidenziato le differenze tra il rilevamento di sistemi di virtualizzazione e rilevamento di malware basati sulla virtualizzazione, ribadendo ancora una volta che codice come Blue Pill saranno in futuro sempre più avvantaggiati dalla diffusione stessa delle tecnologie di virtualizzazione. Rutkowska ha tentato di spiegare i motivi per i quali un "blue pill detector", sviluppato come rilevatore generico di virtualizzazione, non può essere considerato uno strumento efficace contro la minaccia di questa nuova famiglia di malware. La ricercatrice ha anche sottolineato le nuove capacità integrate nella nuova versione del suo prototipo Blue Pill (in particolare il supporto per hypervisor annidati) che rendendo questo codice ancora più difficile da rilevare utilizzando strumenti di rilevazione "generica" per hypervisor. Rutkowska commenta: "In altre parole, riteniamo che sarà sempre possibile rilevare la modalità virtualizzata utilizzando vari trucchi e hack, ma 1) questi hack potrebbero dover essere molto complessi 2) nel caso la virtualizzazione sia utilizzato su un computer target per scopi legittimi tutti questi metodi fallirebbero in ogni caso". Ricordiamo inoltre che il codice sorgente di "Blue Pill" è stato reso disponibile pubblicamente dalla ricercatrice su bluepillproject.org.

Di contro Sallam di McAfee, che ha pubblicato il suo blog-post pochi giorni fa, ritiene che gli sforzi volti alla creazione di un "Blue Pill impossibile da rilevare" siano alquanto inutili. A supporto di questa sensazione Sallam cita i progressi in atto nella sicurezza dei sistemi di virtualizzazione, con sistemi di autenticazione per gli hypervisor commerciali, eventualmente a livello "firmware". Sallam descrive anche una metodologia, a suo avviso sempre efficace per il rilevamento di hypervisor "indesiderati" in un sistema. Questo metodo si basa su quella che il ricercatore definisce un'altra importante falla nell'attuale architettura dei processori, ossia l'uso dei TLBs (Translation Lookaside buffers) per la cache del mapping da indirizzi virtuali a indirizzi fisici, che viene salvato nelle PTE (Page Table Entries). Si tratta di una metodologia simile a quella descritta dalla stessa Rutkowska durante la sua presentazione "IsGameOver(), anyone?", ma che la ricercatrice aveva definito come "non efficace".

Invitiamo tutti coloro che sono interessati a comprendere meglio la problematica qui discussa a leggere i due blog-post dei ricercatori, che includono dettagli tecnici su ciascun "punto di vista". Il fatto certo è che il dibattito sulle possibilità di rilevare codici malware basati su macchina virtuale continua a impegnare gli esperti di sicurezza e sicuramente in futuro emergeranno molte novità a proposito, in particolare quando questo tipo di attacchi debutteranno in-the-wild sulla scena del cyber-crime e quando i vendor antivirus si troveranno a dover fornire le prime soluzioni pratiche per il loro rilevamento.

Fonte: Tweakness

[Bugs Bunny]

Quote:

and here is how the detection code works:
4. Freeze the execution of the operating system (do not ask how but we can do it);

[c.m.g]

Quote:

Originariamente inviato da Bugs Bunny

and here is how the detection code works:
4. Freeze the execution of the operating system (do not ask how but we can do it);

Quote:

Originariamente inviato da traduzione dall'inglese all'italiano

e quì è spiegato come il codice rilevato lavora:

4. far freezare l'esecuzione del sistema operativo (non chiedete come ma possiamo farlo).

cosa c'è di strano?
forse l'hanno omesso per limitare al minimo la diffusione di questo tipo di malware