'Onvindbare malware mogelijk op AMD x64-systeem'
Joanna Rutkowska, een Poolse security-onderzoekster die voor het Singaporese Coseinc werkt, heeft een proof-of-concept beschreven van een technologie waarmee het mogelijk is malware zodanig te verbergen dat deze zo goed als onmogelijk ontdekt kan worden. Om dit te bereiken wordt gebruikgemaakt van AMD's SVM-virtualisatietechnologie om een zeer kleine hypervisor te installeren. Hierna wordt het actieve besturingssysteem overgezet naar een virtuele machine die bovenop de hypervisor draait. Dit levert geen performanceverlies op en alle hardware blijft op dezelfde manier beschikbaar voor het actieve besturingssysteem. Doordat een en ander echter binnen een virtuele machine draait, kunnen via de hypervisor nieuwe machines worden toegevoegd die bijvoorbeeld voor malware-activiteiten zouden kunnen worden ingezet. Vanuit een virtuele machine is het vrijwel onmogelijk te bepalen of er bovenop een hypervisor gewerkt wordt en of meer virtuele machines actief zijn, wat ervoor zorgt dat dit proof-of-concept in theorie voor lastige problemen kan zorgen.
Rutkowska heeft een werkend prototype van Blue Pill, zoals ze de technologie genoemd heeft, voor Windows Vista x64 Beta 2 op de plank liggen. Doordat er geen misbruik gemaakt wordt van bugs in dit besturingssysteem, zou de technologie in theorie ook met andere 64bits OS'en moeten werken. Tijdens de SyCan Conference in Singapore aan het einde van juli zal de security-onderzoekster het proof-of-concept presenteren en uitleggen hoe Blue Pill precies werkt. Zeker is dat dit totaal anders is dan de bekende rootkits die gebruikmaken van virtuele machines, zoals het door Microsoft Research ontwikkelde SubVirt. Die kit draait bijvoorbeeld alleen op x86-hardware en is daarom niet volledig virtueel, omdat binnen de x86-instructieset bepaalde commando's niet virtualiseerbaar zijn. Tijdens de presentatie in Singapore zal overigens ook worden ingegaan op een generieke methode om code in de kernel van Windows Vista x64 Beta 2 te injecteren. Daarmee zou de door Microsoft vereiste digitale ondertekening om code in de kernel te injecteren niet langer nodig zijn.
Reacties (105)
eerst zien dan geloven.
dat zien dat kan dus niet 
Hey, ken jij dat "haha"? Bedankt om eigenhandig de mop te verneuken.
Toch zijn er op aarde heel veel mensen die geloven in iets dat je niet kan zien 
Dude, hij heeft een proof-of-concept geschreven en het lijkt me dat die wel enigsinds bevestigd zijn voordat zo'n soort 'hoax' in een tweakers.net nieuwsbericht verschijnd.
Herstel.. ZIJ heeft een proof-of-concept geschreven
"Rutkowska heeft een werkend prototype van Blue Pill, zoals ze de technologie genoemd heeft, voor Windows Vista x64 Beta 2 op de plank liggen. Doordat er geen misbruik gemaakt wordt van bugs in dit besturingssysteem, zou de technologie in theorie ook met andere 64bits OS'en moeten werken. Tijdens de SyCan Conference in Singapore aan het einde van juli zal de security-onderzoekster het proof-of-concept presenteren en uitleggen hoe Blue Pill precies werkt."
Nu jij even goed lezen... Z
Nu jij even goed lezen... Z
that's my woman (wishfull thinking)
(wishfull thinking)Is that's my bitch niet beter van toepassing
ik vind mal-ware-schrijvers nogal triest..laat ze lekker games maken ofzo
ik vind mal-ware-schrijvers nogal triest..laat ze lekker games maken ofzo
Dude ZIJ - 
tis een chick
tis een chick
rest mij nog 2 vragen,
is ze nog single?
en zo ja, wat is haar telefoon nummer?
is ze nog single?
en zo ja, wat is haar telefoon nummer?
wat ouderwets zech, een telefoon nummer, weet je wel niet wat dat kost naar polen bellen ? , doe mij maar d'r msn adres 
Reactie verwijderd
Eh, waarom? Het is een aankondiging, het enige wat er in de schaal is gelegd totnutoe is de reputatie. Van iemand ik waar ik nog nooit van gehoord heb.
[Er zijn ook al bvb aankondigingen van XBoX360-hacks geweest op tweakers die achteraf ook niet gekomen zijn --- geen enkele nieuwsbron is feilloos.]
Dat gezegd zijnde, zie ik niet direct een reden tot twijfelen; ze heeft wel degelijk een baan en gaat naar de conferentie, dus het ingestuurde abstract van haar praatje zal wel juist zijn.
[Er zijn ook al bvb aankondigingen van XBoX360-hacks geweest op tweakers die achteraf ook niet gekomen zijn --- geen enkele nieuwsbron is feilloos.]
Dat gezegd zijnde, zie ik niet direct een reden tot twijfelen; ze heeft wel degelijk een baan en gaat naar de conferentie, dus het ingestuurde abstract van haar praatje zal wel juist zijn.
"Van iemand ik waar ik nog nooit van gehoord heb."
Dan mag je wel eens vaker op een blackhat komen... in het voorjaar heeft ze nog in het kras gestaan... (en ik blijf erbij, haar engels en presentatieskills zijn echt VER onder de maat... gelukkig heeft ze andere skills om te compenseren )
Dan mag je wel eens vaker op een blackhat komen... in het voorjaar heeft ze nog in het kras gestaan... (en ik blijf erbij, haar engels en presentatieskills zijn echt VER onder de maat... gelukkig heeft ze andere skills om te compenseren
)Maar goed, heel leuk allemaal maar hoe gaan we dit buiten weten van de gebruiker om installeren? Ik heb begrepen dat Vista nu net zoals OS X is geworden en dat als er dus een ingrijpende wijziging wordt uitgevoerd dat er dan om de admin account gevraagt wordt ongeacht of de admin al in is gelogd.
@J.J.J. Bokma:
Wouw jij bent me daar toch eens 1337!
Maar kun je het ook in het Nederlands typen?
@J.J.J. Bokma:
Wouw jij bent me daar toch eens 1337!
Maar kun je het ook in het Nederlands typen?
"Maar goed, heel leuk allemaal maar hoe gaan we dit buiten weten van de gebruiker om installeren?"
Fre33 P00rrn viewerrr!!1111oneoneeleven!!
Fre33 P00rrn viewerrr!!1111oneoneeleven!!
ehm... enigzins.... PoC = enkelvoud -> is... verschijnt....
ABN = moeilijk
ABN = moeilijk
Enige probleem wat ik zie is dit doen zonder reboot. Verder is dit exact waar die virtualisatie voor is ontwikkeld: zorgen dat je als virtueel proces op een computer kan werken zonder het door te hebben.
Dat niemand eerder na heeft gedacht over het veiligheidsrisico hiervan vind ik gekker dan het bestaan van Blue Pill, eerlijk gezegd.
Dat niemand eerder na heeft gedacht over het veiligheidsrisico hiervan vind ik gekker dan het bestaan van Blue Pill, eerlijk gezegd.
Mwah, gebruikers laten rebooten moet niet moeilijk zijn. Gewoon een melding van windows faken dat ie hersteld is van een "Critical ERROR" en dat de computer nu op nieuw opgestart moet worden om schade te voorkomen 
Ja, dan ben je ook gek als gebruiker als je hem NIET opnieuw opstart...
Ja, dan ben je ook gek als gebruiker als je hem NIET opnieuw opstart...Volgens mij is het niet de bedoeling dat je een hypervisor kan installeren zonder dat dit gemeld wordt aan de gebruiker. Dát is in weze hier het probleem.
MBR virussen bestaan al veel langer dan vandaag. Code injecteren buiten het OS is dus geen probleem. En voor een virus is er geen enkel probleem om op een reboot te wachten, de meeste home users zullen dit toch wel om de zoveel tijd doen.
"Dat niemand eerder na heeft gedacht over het veiligheidsrisico hiervan"
Uhm, dacht je dat dit idee uniek was?
Uhm, dacht je dat dit idee uniek was?
Het idee bestaat al een tijd, maar dit is het eerste POC afaik.
@MBV
Enige probleem wat ik zie is dit doen zonder reboot.
Zo, jouw probleem is ook weer opgelostThe presentation will first present how to generically (i.e. not relaying on any implementation bug) insert arbitrary code into the latest Vista Beta 2 kernel (x64 edition), thus effectively bypassing the (in)famous Vista policy for allowing only digitally singed code to be loaded into kernel. The presented attack does not require system reboot.
Bron: http://www.blackhat.com/h...6-speakers.html#Rutkowska
Dat gaat over het ándere deel van de presentatie, namelijk de injectie van unsigned code in de kernel, niet over het runnen van het OS bovenop de hypervisor, want dat zie ik je toch echt niet zomaar zonder reboot doen hoor.
omgg "bootchee" die is echt goed, mag door voor de beste van het jaar verkiezingen... 
Maar denk wel dat hij te detecteren valt, mss niet nu meteen, maar daar fixen ze wel weer wa op
Maar denk wel dat hij te detecteren valt, mss niet nu meteen, maar daar fixen ze wel weer wa op
het is niet nieuw ofzo, tijdje geleden was er toch ook al zo'n verhaal?
Zie niet in wat er valt te fixen aangezien dit een feature van de hardware is... En wij denken dat virtualisatie een systeem veiliger maakt! Ik vraag me trouwens af of dit proof of concept ook van toepassing is bij detechniek die Intel gebruikt voor virtualisatie?
In principe kan deze techniek gebruikt worden op elk platform waarop een virtueel systeem kan draaien, zonder dat die virtualisatie op de hoogte moet zijn van een eventuele hypervisor.
Dus op het meerendeel van de huidige processoren zal dit nog niet zo'n gevaar vormen, maar op de processoren die bijv VT-techniek (of de AMD-variant) aan boord hebben kunnen dus meerdere besturingssystemen tegelijk naast elkaar draaien.
Op de "oudere" processoren zal een virtueel systeem dus moeten kunnen omgaan met een hypervisor.
Kijk maar eens naar de documentatie van XEN.
Dan heb je een Hypervisor (Dom0) en een of meerdere virtualisaties. (DomU)
Soort van VMware, maar dan in hardware.
Dus op het meerendeel van de huidige processoren zal dit nog niet zo'n gevaar vormen, maar op de processoren die bijv VT-techniek (of de AMD-variant) aan boord hebben kunnen dus meerdere besturingssystemen tegelijk naast elkaar draaien.
Op de "oudere" processoren zal een virtueel systeem dus moeten kunnen omgaan met een hypervisor.
Kijk maar eens naar de documentatie van XEN.
Dan heb je een Hypervisor (Dom0) en een of meerdere virtualisaties. (DomU)
Soort van VMware, maar dan in hardware.
lijkt me gewoon een questie van op letten wat er met je bootsector gebeurt.
dat virtueele OS moet ergens staan namelijk, en moet een keer worden opgestart.
de bios bootsector protectie zou hier al afdoende bescherming tegen bieden, en een klein controle programa op bootable floppy/cd/usb stick zou dit ook makelijk kunnen detecteren.
valt dus allemaal wel mee.
virtualisatie kan je systeem wel degenlijk veiliger maken.
(p.s. the title van deze proof of consept ' blue-pill' is echt geniaal natuurlijk.)
dat virtueele OS moet ergens staan namelijk, en moet een keer worden opgestart.
de bios bootsector protectie zou hier al afdoende bescherming tegen bieden, en een klein controle programa op bootable floppy/cd/usb stick zou dit ook makelijk kunnen detecteren.
valt dus allemaal wel mee.
virtualisatie kan je systeem wel degenlijk veiliger maken.
(p.s. the title van deze proof of consept ' blue-pill' is echt geniaal natuurlijk.)
En wat als nou niet je bootsector overschreven wordt, maar bijvoorbeeld je NTloader, of je grub.
Of mischien nog leuker, een BIOS-flash van je mainboard/netwerkkaart.
Kortom er zijn meer dingen mogelijk.
Welliswaar wat minder waarschijnlijk, omdat het zich dan minder snel zal kunnen verspreiden, maar zeker niet onmogelijk.
Daarnaast zijn er ook genoeg wormen en zo die diverse systeemfiles van Windows overschrijven, dus zo lastig zal het niet zijn.
Of mischien nog leuker, een BIOS-flash van je mainboard/netwerkkaart.
Kortom er zijn meer dingen mogelijk.
Welliswaar wat minder waarschijnlijk, omdat het zich dan minder snel zal kunnen verspreiden, maar zeker niet onmogelijk.
Daarnaast zijn er ook genoeg wormen en zo die diverse systeemfiles van Windows overschrijven, dus zo lastig zal het niet zijn.
maar dat is dus weer wel detecteerbaar vanaf het gevirtualizeerde OS, en dus te bestrijden met traditionele anti virus/spyware programams.En wat als nou niet je bootsector overschreven wordt, maar bijvoorbeeld je NTloader, of je grub.
bij mijn weten is grub read only, tenzij voor super user. aangezien hier de user een actie moet doen (super user psw ingeven) zal dit niet ongemerkt gebeuren.En wat als nou niet je bootsector overschreven wordt, maar bijvoorbeeld je NTloader, of je grub.
helaas draaien op de meeste windows systemen de gebruikers standaard als admin, waardoor dit bij ntloader wel eens mogelijk is.
trouwens, als het in grub staat. is het te vinden. dus deze gebruikt een andere manier dan de boot loader.
heb bericht suggereert dat het tijdens runtime wordt geďnstalleerd (heb de bron niet bekeken). Dat zou een bug kunnen zijn.
Misschien vergelijkbaar met beveiliging van HDD's? BIOS moet daarbij ook een commando geven om de beveiliging uit te schakelen, als het dat niet geeft kan iemand anders er een wachtwoord op zetten. Oeps...
Misschien vergelijkbaar met beveiliging van HDD's? BIOS moet daarbij ook een commando geven om de beveiliging uit te schakelen, als het dat niet geeft kan iemand anders er een wachtwoord op zetten. Oeps...
Het zal inderdaad niet meevallen om het in een trojan/virus te bakken die compleet ongemerkt je systeem aanvalt en aanpast, maar het lijkt me zeker niet onmogelijk.
Vaak zijn er delen ongebruikt (niet eens gepartitioneerd) op de schijf en hoe vaak staat de bootsector-controle nu aan in de BIOS?
Dat zit alleen maar in de weg voor de meeste gebruikers bij de installatie van je OS enzo.
Daarnaast zou je op veel meer manieren de boel in het bootproces kunnen proppen, ipv de bootsector aanpassen.
Vaak zijn er delen ongebruikt (niet eens gepartitioneerd) op de schijf en hoe vaak staat de bootsector-controle nu aan in de BIOS?
Dat zit alleen maar in de weg voor de meeste gebruikers bij de installatie van je OS enzo.
Daarnaast zou je op veel meer manieren de boel in het bootproces kunnen proppen, ipv de bootsector aanpassen.
tja door dit bericht natuurlijk vanzelf een stuk vaker.en hoe vaak staat de bootsector-controle nu aan in de BIOS?
en bij de meeste bootsector bescherming krijg je meteen ene keuze menu te zien tegenwooridg waar je ja toestaan of nee weigering in kan vullen dus zo in de weg zit het nou ook niet.
als ze bij die bios keuze menu een goed text bij zetten dan denk ik dat we al een heel eind zijn.
en bedrijven zouden kunnen zeggen, we willen een optionneel menu maar we willen ook alle bootsector wijzigingen op voorhand kunnen weigeren als die optie aan staat in de bios.
maak je geen illusies, het gros van de gebruikers komt NOOIT in de BIOS, ze weten meestal niet eens wat het is...
misschien niet maar de meeste mensen hebben wel iemand die ze kennen die wel weet wat ze doen, en die kunnen dat binnen 2 minute voor ze instellen.
en ik kan me voorstellen dat PC fabricanten waar een preinstalled OS op staat standaard die optie aan zetten in de bios als het om PC's met virtualizatie technieken gaat.
en binnen bedrijven mag ik hopen dat ze ook mensen in dienst hebben die weten wat ze doen.
net als nu bijna iedereen een virus scanner en firewall heeft zal ook deze fix gemeen goed worden over een tijdje.
en ik kan me voorstellen dat PC fabricanten waar een preinstalled OS op staat standaard die optie aan zetten in de bios als het om PC's met virtualizatie technieken gaat.
en binnen bedrijven mag ik hopen dat ze ook mensen in dienst hebben die weten wat ze doen.
net als nu bijna iedereen een virus scanner en firewall heeft zal ook deze fix gemeen goed worden over een tijdje.
Daar kun je toch films kijken, zeker nieuwe versie van Windows Media Player 
EDIT: reactie op Zaphod69
EDIT: reactie op Zaphod69
Vergeet niet je Partitie-tabel, BIOS, Firmwares, en bv: x86 SMM-lek ( ironisch genoeg non-WinXP ) Er zijn veel 'patch-momenten'.
Afhankelijk van het wel of niet betrouwbaar kunnen detecteren van een hypervisor is SVM is dan juist het begin, of juist weer einde van de 'veiligheid'.
En een volledig virtualiseerbare instructieset kan zowel voor alswel tegen een 'Trusted-Chain' vanaf computer aan t/m OS running gebruikt worden. Als in: Domino-effect linksom of rechtsom
) Er zijn veel 'patch-momenten'.Afhankelijk van het wel of niet betrouwbaar kunnen detecteren van een hypervisor is SVM is dan juist het begin, of juist weer einde van de 'veiligheid'.
En een volledig virtualiseerbare instructieset kan zowel voor alswel tegen een 'Trusted-Chain' vanaf computer aan t/m OS running gebruikt worden. Als in: Domino-effect linksom of rechtsom
Kun je dit gehele veiligheidsprobleem niet oplossen door juist gebruik te maken van het 'veiligheidslek'? Als je de SVM technologie gebruikt om het systeem altijd onder een hypervisor te starten, dan zijn de rollen ineens omgedraaid. Dan kan het voor een exploit wel lijken of ie het systeem over gaat nemen, maar in werkelijkheid zit ie opgesloten in een virtuele box en bepaalt de beheerder wat al of niet mogelijk is.
Zie ook de post van Ralph Smeets (iets verderop)
Zie ook de post van Ralph Smeets (iets verderop)
Dat wil je niet. Hoe kan je anders 'windows-in-een-venster' krijgen als je Linux-distro het hoofd-systeem is? En wie wordt er dan hyper-visor?
Zal wat detail-aanpassingen vereisen om op Intel's VT te werken, maar in grote lijnen zal het hetzelfde zijn (aangezien VT in grote lijnen hetzelfde is als SVM).
Verder lijkt het me niet geheel onmogelijk dit te detecteren: zorg dat je een systeem draait dat zelf ook hypervisor-ondersteuning heeft (bijvoorbeeld iets van een Xen kernel). Als je dan geen toegang meer hebt tot de ring-0 functies (of hoe je dat ook noemt netjes) dan weet je dat je op een gevirtualiseerd platform draait.
Of denk ik nu te simpel?
[edit]Lol, het is zeker het tijdstip om op dit soort ideeen te komen... [edit2]Hmmm, en als je nog een tiental posts verder omlaag scrollt zegt TD-er ook al zoiets...
Verder lijkt het me niet geheel onmogelijk dit te detecteren: zorg dat je een systeem draait dat zelf ook hypervisor-ondersteuning heeft (bijvoorbeeld iets van een Xen kernel). Als je dan geen toegang meer hebt tot de ring-0 functies (of hoe je dat ook noemt netjes) dan weet je dat je op een gevirtualiseerd platform draait.
Of denk ik nu te simpel?
[edit]Lol, het is zeker het tijdstip om op dit soort ideeen te komen...
[edit2]Hmmm, en als je nog een tiental posts verder omlaag scrollt zegt TD-er ook al zoiets... Virtualisatie heeft geenszins te maken met een verbeterde beveiliging. Het enige waar het voor bedoeld is, is om een virtualisatie laag te presenteren die de software loskoppelt van de hardware.
De veiligheidsrisico's blijven hetzelfde als voorheen.
En toegegeven, de virtualisatie architectuur kan ook weer z'n eigen exploits bevatten.
Het enige wat virtualisatie niet betekent, is een bevorderde beveiliging.
-R-
De veiligheidsrisico's blijven hetzelfde als voorheen.
En toegegeven, de virtualisatie architectuur kan ook weer z'n eigen exploits bevatten.
Het enige wat virtualisatie niet betekent, is een bevorderde beveiliging.
-R-
Maar dit werkt dus alleen op een 64-Bit OS.
Ben ik dan bijvoorbeeld vatbaar hiervoor? Ik heb wel een 64 Bit CPU, maar draai een 32 bit OS.
Ben ik dan bijvoorbeeld vatbaar hiervoor? Ik heb wel een 64 Bit CPU, maar draai een 32 bit OS.
Als de benodigheden zijn een 64 bit cpu en OSen je hebt een 32-bit OS, nee dus.........
Dan heb je het niet begrepen.
Als je processor in de hardware ondersteuning biedt voor een dergelijke virtualisatie, dan kan je in een virtuele instantie dus elk OS draaien, wat ook normaal gesproken op je processor kan draaien.
De virussen/trojans zullen dan echter wel een stuk complexer moeten worden, omdat ze ook een soort OS mee moeten installeren in een andere virtuele machine.
Om dan een beetje "besmettelijk" te kunnen zijn, zal je dus ofwel flink wat hardware support moeten inbouwen, of op een of andere manier de virtuele installatie van je windows of linux moeten kunnen infecteren.
Dan kun je bezig blijven om de boel te verwijderen, maar dan krijg je het niet goed weg, totdat je die hypervisor weg haalt.
Als je processor in de hardware ondersteuning biedt voor een dergelijke virtualisatie, dan kan je in een virtuele instantie dus elk OS draaien, wat ook normaal gesproken op je processor kan draaien.
De virussen/trojans zullen dan echter wel een stuk complexer moeten worden, omdat ze ook een soort OS mee moeten installeren in een andere virtuele machine.
Om dan een beetje "besmettelijk" te kunnen zijn, zal je dus ofwel flink wat hardware support moeten inbouwen, of op een of andere manier de virtuele installatie van je windows of linux moeten kunnen infecteren.
Dan kun je bezig blijven om de boel te verwijderen, maar dan krijg je het niet goed weg, totdat je die hypervisor weg haalt.
Je hebt hier een AM2 Athlon voor nodig, met pacifica. Dus geen Socket 754 of 939. Dus waarschijnlijk niet op jouw systeem.
Ik weet niet in hovere een 32 bits OS hier al dan nier gebruik van kan maken.
Ik weet niet in hovere een 32 bits OS hier al dan nier gebruik van kan maken.
Het lijkt me sterk dat virualisatie alleen werkt met een 64 bit OS, dus waarschijnlijk is zoiets ook te maken voor een 32 bit OS.
Maar als ik me niet vergis dan heeft intel ook virtualisatie op de planning staan(of hebben ze het al in de cpu's verwerkt), dus dit lijkt me geen AMD-only probleem.
Maar als ik me niet vergis dan heeft intel ook virtualisatie op de planning staan(of hebben ze het al in de cpu's verwerkt), dus dit lijkt me geen AMD-only probleem.
Intel CPU's met Vanderpool Technology zouden dit ook moeten kunnen.
De Intel 900-serie bijvoorbeeld.
De Intel 900-serie bijvoorbeeld.
geheel sugestief, of heb jij een proof-of-concept?
Ik heb niet een proof-of-concept, maar het is met die VT-technologie gewoon mogelijk om elk OS te draaien in zo'n virtualisatie.
Met oudere processoren moet het OS wat in een virtuele machine draait op de hoogte zijn van zo'n hypervisor, maar wanneer je dus die VT-techniek in de processor hebt zitten, hoeft het OS dus niet op de hoogte te zijn van zo'n hypervisor en dan is het vrijwel onmogelijk om vanuit zo'n virtualisatie te zien dat je in een virtualisatie draait.
In feite is de enige manier om dat te kunnen zien, door te proberen zelf een hypervisor te starten. Dat gaat dan niet lukken.
Die VT-technologie lijkt heel erg op de i386-protected mode bit, wat gebruikt wordt om aan te geven of je op dat moment de kernel draait of een gewoon proces.
Het is gewoon een extra bit die aangeeft of je op dat moment als hypervisor draait of niet.
* TD-er heeft (samen met een paar anderen) een server draaien met daarop een dergelijke virtualisatie (XEN), zodat in geval van inbraak/rootkit-installatie het systeem in notime weer vanuit een image terug gezet kan worden.
@Pietje Puk:
Of het ongemerkt geinstalleerd zou kunnen worden, weet ik niet. Gezien hoe de meeste spyware of virussen op de systemen komen kun je dat echter al snel "ongemerkt" noemen.
De enige manier om het te kunnen detecteren is door te proberen zelf een hypervisor te starten. Als dat lukt weet je zeker dat die techniek nog niet draaide. Als dat niet lukt, weet je eigenlijk nog niets, want een hoop processoren ondersteunen die virtualisatie nog niet.
Met oudere processoren moet het OS wat in een virtuele machine draait op de hoogte zijn van zo'n hypervisor, maar wanneer je dus die VT-techniek in de processor hebt zitten, hoeft het OS dus niet op de hoogte te zijn van zo'n hypervisor en dan is het vrijwel onmogelijk om vanuit zo'n virtualisatie te zien dat je in een virtualisatie draait.
In feite is de enige manier om dat te kunnen zien, door te proberen zelf een hypervisor te starten. Dat gaat dan niet lukken.
Die VT-technologie lijkt heel erg op de i386-protected mode bit, wat gebruikt wordt om aan te geven of je op dat moment de kernel draait of een gewoon proces.
Het is gewoon een extra bit die aangeeft of je op dat moment als hypervisor draait of niet.
* TD-er heeft (samen met een paar anderen) een server draaien met daarop een dergelijke virtualisatie (XEN), zodat in geval van inbraak/rootkit-installatie het systeem in notime weer vanuit een image terug gezet kan worden.
@Pietje Puk:
Of het ongemerkt geinstalleerd zou kunnen worden, weet ik niet. Gezien hoe de meeste spyware of virussen op de systemen komen kun je dat echter al snel "ongemerkt" noemen.
De enige manier om het te kunnen detecteren is door te proberen zelf een hypervisor te starten. Als dat lukt weet je zeker dat die techniek nog niet draaide. Als dat niet lukt, weet je eigenlijk nog niets, want een hoop processoren ondersteunen die virtualisatie nog niet.
Het is de vraag of het met de intel technologie ook ongemerkt geinstalleerd kan worden en of het detecteerbaar is als het draait. Zonder goede kennis van de werking van de techniek is het onmogelijk om hier een zinnig antwoord op te geven. Dus inderdaad: Een suggestieve stelling
Van de 'onderzoekster' zelf:
'I decided to implement Blue Pill on AMD64 processor and I spent my time on doing this. Unfortunately I'm only single-threaded, when it comes to programming, so I did not develop a code for Intel at the same time. Indeed it *seems* possible to implement Blue Pill on Intel VT, but I haven't done this yet.
As to why I decided to choose AMD and not Intel - I followed the alphabetic order ;)'
Conclusie: Net zo hard mogelijk met Vanderpool.
'I decided to implement Blue Pill on AMD64 processor and I spent my time on doing this. Unfortunately I'm only single-threaded, when it comes to programming, so I did not develop a code for Intel at the same time. Indeed it *seems* possible to implement Blue Pill on Intel VT, but I haven't done this yet.
As to why I decided to choose AMD and not Intel - I followed the alphabetic order ;)'
Conclusie: Net zo hard mogelijk met Vanderpool.
dat is dus wel jouw concusie en niet die van haar, anders had ze dat zelf wel gezegd.
"....it seems...."
Correct. Maar so what?dat is dus wel jouw concusie en niet die van haar, anders had ze dat zelf wel gezegd.
it *seems* possible zal ze ook tegen zichzelf gezegd hebben, toen ze aan dit stukje 'proof-of-concept' begon op haar AMD systeem. En vervolgens 'I spent my time on doing this'.
Nu zegt ze weer it *seems* possible en begint ze aan haar stukje 'proof-of-concept' of een Intel systeem.
Vanderpool en Pacifica zijn zo goed als identiek, de uitkomst is mij dus al bekend
. Als deze dame er maar genoeg tijd aan besteed lukt het haar ook met Vanderpool.Volgens mij is het proof of concept voor een x64 systeem,
maar met bijvoorbeeld een VT-enabled Intel processor en met Xen 3.0 kan je Windows XP gewoon gevirtualiseerd draaien.
Ik geloof er eigenlijk weinig van dat x86 niet volledig virtualiseerbaar is.
Bovendien is virtualisatie naar mijn mening de beste manier om beveiligingen zoals DRM te omzeilen: draai je DRM-enabled OS gevirtualiseerd zonder dat deze daarvan op de hoogte is, en lees in je hypervisor de ongecodeerde geheugenstukken uit die corresponderen met de gegevens die je wilt hebben.
De vraag is? Wat doet virtualisatie technologie met een TPM module? wordt die ook gevirtualiseerd?
maar met bijvoorbeeld een VT-enabled Intel processor en met Xen 3.0 kan je Windows XP gewoon gevirtualiseerd draaien.
Ik geloof er eigenlijk weinig van dat x86 niet volledig virtualiseerbaar is.
Bovendien is virtualisatie naar mijn mening de beste manier om beveiligingen zoals DRM te omzeilen: draai je DRM-enabled OS gevirtualiseerd zonder dat deze daarvan op de hoogte is, en lees in je hypervisor de ongecodeerde geheugenstukken uit die corresponderen met de gegevens die je wilt hebben.
De vraag is? Wat doet virtualisatie technologie met een TPM module? wordt die ook gevirtualiseerd?
x86 is prima virtualiseerbaar, maar dan zul je het in software moeten doen. De x64 heeft er hardware ondersteuning voor, zodat het makkelijker te coden is, en je veel minder tot geen performance verliest aan overhead.
Zulke software zal toch ergens op je harde schijf moeten staan. Lijkt me niet geheel onopspoorbaar dus...
edit:
@TD-er: Zou het dan niet mogelijk zijn om dan met een soort unattended cd een 'virusscan' te doen?
edit:
@TD-er: Zou het dan niet mogelijk zijn om dan met een soort unattended cd een 'virusscan' te doen?
Wel als je virtuele systeem, waarin je werkt, die sectoren niet eens ziet. Dan kan je echt lang zoeken.
Pas wanneer je het zou bekijken op een niet-geinfecteerd systeem, dan zou je het kunnen zien/vinden.
@TheShadow:
Als je zekerheid hebt dat je virtualisatie op geen enkele manier gestart wordt voordat je boot vanaf je live-CD (bijvoorbeeld Knoppix of BartPE), dan kun je het ook in het geinfecteerde systeem detecteren.
Maar hoeveel van de gebruikers die last van een virus oid. hebben, booten op die manier?
Pas wanneer je het zou bekijken op een niet-geinfecteerd systeem, dan zou je het kunnen zien/vinden.
@TheShadow:
Als je zekerheid hebt dat je virtualisatie op geen enkele manier gestart wordt voordat je boot vanaf je live-CD (bijvoorbeeld Knoppix of BartPE), dan kun je het ook in het geinfecteerde systeem detecteren.
Maar hoeveel van de gebruikers die last van een virus oid. hebben, booten op die manier?
Op het moment dat een dergelijk 'virus' je computer probeert te veranderen kun je het dus herkennen.
De meeste reacties hier zijn erop gebaseerd dat je het niet ziet als het geinstalleerd is en je pc inderdaad draait via die virtualisatie.
De bestrijding moet dus ook niet achteraf maar aan de deur plaats vinden, om te voorkomen dat zo'n VM geinstalleerd kan worden.
De meeste reacties hier zijn erop gebaseerd dat je het niet ziet als het geinstalleerd is en je pc inderdaad draait via die virtualisatie.
De bestrijding moet dus ook niet achteraf maar aan de deur plaats vinden, om te voorkomen dat zo'n VM geinstalleerd kan worden.
Geweldige foto van de code, trouwens!
Idd, die afbeelding!
eigenlijk hadden ze er iets moeten neer zetten zodat als je het selecteert het tevoorschijn komt
Nee, dan is het niet onvindbaar meer
Sterker, selecteer het maar en ik zie een spatie (Malware)
Volgens mij moet dit dus ook mogelijk zijn met een Intel processor met Intel Virtualisation Technology. Het princiepe is immers hetzelfde, waarbij er ook gebruik gemaakt wordt van een hypervisor waarin het besturingssysteem virtueel draait.
Intel promoot deze aanpak zelfs met het aan te komen vPro-platform waarbij de het besturingssysteem, de firewall en de virusscanner elk in hun eigen virtuele omgeving draait. Vervang de hypervisor door mallware en je hebt precies dezelfde situatie als nu wordt voorgesteld.
Intel promoot deze aanpak zelfs met het aan te komen vPro-platform waarbij de het besturingssysteem, de firewall en de virusscanner elk in hun eigen virtuele omgeving draait. Vervang de hypervisor door mallware en je hebt precies dezelfde situatie als nu wordt voorgesteld.
blue pill, beetje teveel matrix zitten kijken maar wel leuk gevonden.
ontopic: dit is natuurlijk erg slecht nieuws. (of heel goed als je coolwebseartch heet)
is eht niet mogelijk om met dezelfde techniek virturele pc's te maken die ook eens een videokaart goed aan kunnen spreken?, zou wel fijn zijn dat je eens een "echte" vpc zou kunnen draaien in windows.
ontopic: dit is natuurlijk erg slecht nieuws. (of heel goed als je coolwebseartch heet)
is eht niet mogelijk om met dezelfde techniek virturele pc's te maken die ook eens een videokaart goed aan kunnen spreken?, zou wel fijn zijn dat je eens een "echte" vpc zou kunnen draaien in windows.
Ik heb de oplossing!!
Een TPM chippie op je moederbord die alle niet-microsoft (micro)kernels uitsluit!
*rent voor leven*
Een TPM chippie op je moederbord die alle niet-microsoft (micro)kernels uitsluit!
*rent voor leven*
leuk voor alle *nix gebruikers 
Och dan draai je die toch in een virtualisatie
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Apple Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
