Studio: Rootkit VMM Resteranno Rilevabili

Posted on ottobre 3, 2007. Filed under: News |

Secondo i ricercatori delle università di Carnegie Mellon e Stanford, i rootkit che utilizzano tecniche di virtualizzazioni non dovrebbero generare in futuro particolari difficoltà in rilevamento. Si tratta di una problematica che abbiamo già affrontato in diverse news precedenti dedicate alle possibilità di rilevare questo tipo di malware, solitamente definiti come “impossibili da isolare” su una macchina infetta.

Una discussione tra i ricercatori più esperti era andata in scena sullo stage dell’ultimo Black Hat USA 2007, con i ricercatori Matasano Security che avevano lanciato una sfida a Joanna Rutkowska, ricercatrice che studia gli stealth malware e creatrice del prototipo “BluPill”, affermando di essere in grado, sfruttando tecniche di “timing determination” e simili, di riconoscere una macchina infetta con il rootkit VM-based. Nella discussione era anche intervenuta McAfee, secondo cui i tentativi di creazione di un “Blue Pill impossibile da rilevare” sono alquanto inutili.

Ora i ricercatori delle università di Carnegie Mellon e Stanford, in collaborazione con i popolari vendor VMware e XenSource, hanno pubblicato un studio, intitolo lato “Compatibility is Not Transparency: VMM Detection Myths and Realities“, secondo cui i rootkit che utilizzando una tecnologia hypervisor non sono in grado di garantirsi “l’invisibilità” in un sistema infetto.

Secondo il paper, disponibile pubblicamente in PDF: “Non importa quanto leggera sia la VMM (virtual machine monitor) nociva, dovrà comunque consumare risorse fisiche, disturbare i timing, e utilizzare metodi per proteggere se stessa dal sistema guest, cosa che la rende non meno suscettibile al rilevamento delle altre VMM“. Gli hypervisor nocivi creano “anomalie” nel sistema infettato che permettono il rilevamento tramite l’analisi delle discrepanze logiche tra le interfacce del hardware reale e virtuale. Secondo lo studio infatti: “La maggior parte degli attuali metodo di rilevamento per hypervisor sfruttano le differenze nell’interfaccia della CPU virtuale delle VMM che violano l’architettura x86“. Secondo i ricercatori, esistono inoltre differenze tra le configurazioni hardware virtuale e reale, a livello di chipset per esempio. Queste discrepanze lasciano un possibilità di rilevamento, dato che le VMM consumano cicli di CPU e memoria fisica e presentano una “cache footprint” che può essere identificata.

In conclusione, secondo lo studio: “La compatibilità offerta dalle VMM sembra solo ad un piccolo passo dalla trasparenza; l’intuizione suggerisce che il piccolo gap tra piattaforme native e virtuali deve essere solo un piccolo problema di programmazione, un interruzione di supporto hardware, etc., lontani dallo svanire. Abbiamo sfidato questo punto di vista studiano la vasta gamma di differenze tra le piattaforme reali e virtuali, entrambe dal punto di vista del codice e utilizzando esempi delle attuali VMM. Sebbene le VMM di domani cambieranno, le performance resteranno il fattore discriminante. Di conseguenza, gli hardware nativi e virtuali resteranno probabilmente molto dissimili, e per questo suscettibili a diversificazione“.

Bisogna evidenziare che finora non sono stati segnalati prototipi di rootkit VM in-the-wild, realizzati per attaccare i sistemi degli utenti finali. Tuttavia questo tipi di tecnologia sta venendo già discussa negli ambienti underground e sembra che Rutkowska abbia aperto una sorta di “vaso di Pandora”, da cui molto probabilmente emergerà una nuova generazione di malware molto minacciosi, in particolare quando Vista sarà adottato su più vasta scala e questi attacchi attireranno (economicamente) l’attenzione dei cybercriminali.

Fonte. 

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: