I “rootkit” di livello kernel, sono quelli che compromettono direttamente il sistema operativo. Visto che il livello kernel è il più elevato, e impossibile controllare un livello più alto, e quindi un antivirus (antirootkit) può essere facilmente eluso in quanto hanno li stessi privilegi. Qui ci troviamo al Ring 0.
Una soluzione a ciò è stata trovata da Joanna Rutkowska di ”the invisible things” ed è la sua “pillola blu” (alla matrix, cosa avete pensato).
Bluepill nasce nel 2006 come progetto di malware ed è capace di introdursi nel Ring -1. Questo livello non è propriamente esistente, ma è un strato foggiato dai costruttori di processori quando introdussero il concetto di virtualizzazione della CPU. Furono introdotte anche altre modalità operative come la root mode e la host mode. Questo per dimostrare che l'hypervisor ha più privilegi sul kernel del sistema operativo rispetto al Ring 0.
L’idea di bluepill non è propriamente originale, essa infatti prende spunto da un altro progetto, questa volta della Microsoft Research, che aveva creato uno rootkit VM-based chiamato “SubVert”. Questo rootkit era quasi impercettibili nel sistema, ma poteva essere facilmente individuato a causa di alcuni cambiamenti che apportava al hard disk.
Rutkowska ha portato questo archetipo più avanti.
Il compito di bluepill è di installarsi, in maniera silenziosa e senza riavvii, al disopra del kernel diventando così invisibile, lasciando intravedere a scanner e software specifici, soltanto il processo di virtualizzazione proprio della CPU. Cosi facendo non c'è modo di sapere l'hypervisor è stato compromesso o meno da bluepill perché non va a toccare nulla del kernel e non ha contatti attivi con quest'ultimo.
Tutto ciò è reso possibile grazie alla tecnologia di virtualizzazione di AMD chiamata SVM.
La dimostrazione è stata fatta la Black Hat (quale posto migliore) ed è stata eseguita su di una macchina equipaggiata di Vista X64. Ma potrebbe funzionare anche su altri SO basati su tecnologie a x64.
Nessun commento:
Posta un commento