虚拟恶意软件检测 解决蓝色药丸的良药


这种模仿软件虚拟机形式的恶意rootkit软件能够被检测出来吗?当安全研究员在黑客大会上提出他们的最新发现时,讨论者人头攒动。

  Invisible Things公司的研究员Joanna Rutkowska在去年的黑客大会上描述和证明了她研发的rootkit工具Blue Pill,正是这一举动使其一夜成名,并引发了大家对虚拟rootkit技术极大的兴趣。礼拜三,Rutkowska来到黑客大会承认研究员Edgar Barbosa针对Blue Pill的检测方法是目前为止最成功的。她和她的同事,研究员Alexander Tereshkin在经过一番高难度的渗透试验后说,“恭喜你,Edgar”,并称她和她的同事尚未找到绕过这种检测方法的途径,Edgar的这种检测方法叫作“反基于”检测,Edgar在7月份SyScan会议上一篇论文中详细介绍了该检测方法。Rutkowska同时还说她已经将Blue Pill的代码放在了互联网上,可共公众下载。并建立了一个Blue Pill项目,Blue Pill自从去年公布以来已经出现了很多变种,包括一种叫超级监视巢,其潜藏一个虚拟机恶意软件并筑巢在另一个虚拟机恶意软件。Rutkowska说“现在可以自由地上传自己的Blue Pill了”。

  在另一方面,Rutkowska之前还发现了微软的代码签名安全漏洞,代码签名是一种利用微软授权签名证书的内核保护技术,Rutkowska去年就发展示了一种利用该漏洞进行攻击的例子,其允许攻击者在64位的Vista上上传恶意软件,在几个月后微软已经通过修改相应API修补了该漏洞。然而,在礼拜三,Rutkowska称她和同事Tereshkin又发现了一个Vista上关于第三方驱动的内核防护漏洞,该漏洞也是关于数字签名的,很明显的漏洞。同时Rutkowska提醒注意说对于获取微软授权的数字签名证书来说太简单了,花250美元就可以一站式完成。微软对此没有立即做出回应。

  早先在黑客大会上一篇名为“不要告诉Joanna,虚拟Rootkit已经死了”的讨论会上,Matasano公司的安全研究员Thomas Ptacek、Root实验室的Nate Lawson和赛门铁克公司的Peter Ferrie三人描述了如何通过三种技术方案找到检测虚拟机型恶意软件的途径,他们使用的这三种技术分别是旁路攻击、优点攻击和性能事件计数。

  然而,Ptacek说最后研究重点放在了检测虚拟恶意软件Vitriol上,该软件是由研究员Dino Dai针对VMware开发的。这是因为Vitriol是仅有的几个虚拟恶意软件样本之一,之前Rutkowska拒绝公开Blue Pill的代码。三位研究员表示他们会将研究成果公布于众,并会在最近几天发布一个检测虚拟恶意代码的框架软件,称为Samsara。

相关内容