Blue Pill (программное обеспечение) - Blue Pill (software)

Синяя таблетка это кодовое имя для руткит на основе виртуализация x86. Изначально требуется синяя таблетка AMD-V (Pacifica) поддержка виртуализации, но позже была перенесена на поддержку Intel VT-x (Вандерпул) тоже. Он был разработан Иоанна Рутковска и первоначально демонстрировался на Брифинги Black Hat 3 августа 2006 г., с эталонной реализацией для Microsoft Windows Vista ядро.

Название является ссылкой на красная таблетка и синяя таблетка концепция из фильма 1999 года Матрица.

Обзор

Концепция Blue Pill состоит в том, чтобы перехватить работающий экземпляр операционной системы, запустив тонкий гипервизор и виртуализация остальной части машины под ним. Предыдущая операционная система по-прежнему сохраняла бы существующие ссылки на все устройства и файлы, но почти все, включая аппаратные прерывания, запросы данных и даже системное время, могло быть перехвачено (и отправлен ложный ответ) гипервизором. Первоначальная концепция Blue Pill была опубликована другим исследователем из IEEE Oakland в мае 2006 года под названием VMBR (руткит на основе виртуальной машины).[1]

Иоанна Рутковска утверждает, что, поскольку гипервизор может обмануть любую программу обнаружения, такая система может быть «на 100% необнаруживаемой». Поскольку виртуализация AMD является бесшовной по своей конструкции, виртуализированный гость не должен иметь возможность запрашивать, является он гостем или нет. Следовательно, единственный способ обнаружить Blue Pill - это если реализация виртуализации не работает, как указано.[2]

Эта оценка, повторяемая в многочисленных статьях в прессе, оспаривается: AMD выступила с заявлением, в котором отклонил иск о полной необнаружимости.[3] Некоторые другие исследователи в области безопасности и журналисты также отвергли эту концепцию как неправдоподобную.[4] Виртуализация может быть обнаружена синхронизация атаки опираясь на внешние источники времени.[5]

В 2007 году на конференции Black Hat группа исследователей предложила Рутковской применить Blue Pill против их программного обеспечения для обнаружения руткитов.[6] но сделка была сочтена неудачной после того, как Рутковска запросила 384 000 долларов в качестве предварительного условия для участия в конкурсе.[7] Рутковска и Александр Терешкин опровергли утверждения недоброжелателей во время последующей речи Black Hat, утверждая, что предложенные методы обнаружения были неточными.[8]

Исходный код Blue Pill был обнародован,[9][10] по следующей лицензии: Для любого несанкционированного использования (включая публикацию и распространение) этого программного обеспечения требуется действующая лицензия от правообладателя. Это программное обеспечение было предоставлено для использования в образовательных целях только во время тренинга и конференции Black Hat.[11]

Красная таблетка

Red Pill - это метод обнаружения присутствия виртуальной машины, также разработанный Иоанна Рутковска.[12]

Рекомендации

  1. ^ King, S.T .; Чен, П. М. (2006). «SubVirt: внедрение вредоносного ПО с виртуальными машинами». Симпозиум IEEE 2006 г. по безопасности и конфиденциальности (S & P'06). стр.14 стр. Дои:10.1109 / SP.2006.38. ISBN  0-7695-2574-1.
  2. ^ Прототип Blue Pill создает на 100% необнаруживаемое вредоносное ПО, Райан Нарайн, eWeek.com
  3. ^ Вбрасывание: AMD против Джоанны Рутковской В архиве 2008-05-04 на Wayback Machine, eWeek.com
  4. ^ Развенчание мифа о голубых таблетках, virtualization.info
  5. ^ https://archive.today/20120206042114/http://securitywatch.eweek.com/showdown_at_the_blue_pill_corral.html. Архивировано из оригинал на 2012-02-06. Получено 2007-08-20. Отсутствует или пусто | название = (помощь)
  6. ^ Рутковская сталкивается с проблемой «100% необнаруживаемого вредоносного ПО», Райан Нарайн на zdnet.com В архиве 3 сентября 2009 г. Wayback Machine
  7. ^ Нарайн, Райан (29.06.2007). «Обновление хакерского испытания Blue Pill: это бесполезно». zdnet.com. ZDNet. Архивировано из оригинал на 2009-11-26. Получено 2016-01-24. Рутковска [...] хочет, чтобы ее команде из двух человек заплатили 384 000 долларов (по 200 долларов в час каждый для двух человек, работающих полный рабочий день в течение шести месяцев) [...] Томас Птачек из Матасано, член команды по испытанию, предоставляет это Удачный ответ: «Зачем нам платить вам 384 000 долларов за покупку руткита, который, как мы уже знаем, мы можем обнаружить?»
  8. ^ Столкновение в загоне синих таблеток
  9. ^ Голубая таблетка 2007 В архиве 5 октября 2009 г. Wayback Machine
  10. ^ Голубая таблетка 2008 В архиве 13 сентября 2011 г. Wayback Machine
  11. ^ "bluepillproject.org". 18 апреля 2008 г. Архивировано 18 апреля 2008 г.. Получено 3 сентября 2017.CS1 maint: BOT: статус исходного URL-адреса неизвестен (связь)
  12. ^ «Блог | Невидимое». Архивировано из оригинал на 2007-09-11. Получено 2007-09-11.

внешняя ссылка