Virtuális oprendszert futtat a rootkit

Flame

http://index.hu/tech/biztonsag/root6071/
...
Sikeres település esetén a SubVirt manipulálja a rendszerbetöltést, létrehoz egy virtuális számítógépet, és azon futtatja az eredeti operációs rendszer klónját. Tapasztalatlan felhasználók egyáltalán nem veszik észre a változást. Windows alatt a Virtual PC, Linux alatt a VMWare nevű szoftvert használták a kutatók, de az operációs rendszeren belüli virtualizáló eljárások elterjedésével az ilyen virtuális gépen alapuló rootkitek (Virtual-Machine Based Rootkit, VMBR) alkalmazása jóval egyszerűbbé válhat.
...

Minél jobban belegondolok, ez annál nagyobb butaságnak tűnik.
De eredetileg arra akartam felhívni a figyelmet, hogy itt is érvényes az, ami a mezőgazdaságban: monokultúrákban gyorsabban szaporodnak a kártevők. Ami működik valakinek az otthoni Windows XP (sima, vagy SP2) környezetében, az valószínűleg 10-ből 9 PC-n szintén működni fog. De Linux-ból sok van: más opciókkal fordított kernelhez, vagy glibc-hez, vagy egyéb library-khez más rootkit kell. Ebből a szempontból talán legjobb a Gentoo, mert ott mindenki rá van kényszerítve az állandó fordítgatásra.

  • 1926 megtekintés

( rigidus | 2006. 03. 17., p – 21:20 )

"Virtuális oprendszert futtat a rootkit"

nem ertem a cimet

"Sikeres település esetén a SubVirt manipulálja a rendszerbetöltést, létrehoz egy virtuális számítógépet, és azon futtatja az eredeti operációs rendszer klónját."

Ez nekem elegge hihetetlenul hangzik.

1. Bootolaskor _hogyan_ es mit ir at?
2. A masik, hogy hogy a banatba fog az eredeti os-em bootolni egy vmware felett, ugy, hogy minden hardver eszkozom mukodjon (pl gpu hw accel), kulonosen ha a kernelebe nem forgattam bele annak az eszkozeit?
3. Mennyi ido alatt fog ez telepulni?
4. Hol lesz majd es mekkora lesz majd az eredeti oprendszer?

IMHO, en azt hiszem attol nem kell tatani, hogy ez elterjed a gyakorlatban. Max, csak vm-et futtatokrol akarnak lehuzni plusz osszeget az ilyen kamupara dumakkal. (vegyen AntiSubVirt-irtot)
---------------------
Ригидус а бетегадьбол

Az vilagos, de ezek ficsorok javareszt a teljesitmenyen fognak azaltal javitani, hogy a vm-ekhez hasznalt absztrakt algoritmusok attevodnek a hardverre. (javits ki ha tevenek :) )

A masik meg, hogy itt nem csak a nativ teljesitmeny elveszitese lehet feltuno egy usernek, meg sok mas tenyezo is szerepet jatszik. Azt nem ketlem, hogy elmeletben modellezheto egy ilyen, de a gyakorlatban kivitelezni sokkal korulmenyesebb lehet, mint bejuttatni egy trojan-t, vagy egyeb jatekszert. :)

---------------------
Ригидус а бетегадьбол

"1. Bootolaskor _hogyan_ es mit ir at?"
Részletkérdés, pl a kerneledet átnevezi, a boot loadered az ő kis OS-ét tölti be, és majd az húzza be az igazi rendszered. Aztán már csak arra kell vigyáznia, hogy hazudjon, ha meg akarod nézni pl, hogy mit is töltött be a boot managered.

"2. A masik, hogy hogy a banatba fog az eredeti os-em bootolni egy vmware felett, ugy, hogy minden hardver eszkozom mukodjon (pl gpu hw accel), kulonosen ha a kernelebe nem forgattam bele annak az eszkozeit?"
Egy ilyen virtualizációs réteg icipici is lehet, és használhatja akár a valós hardvereidet is. Ha az eredeti OS-ed tudta használni a hardvered, akkor továbbra is használhatja, a rootkit csak beül a kettő közé, de ha nem akarja, nem akadályozza a kommunikációjukat...
(Update: most értettem meg, mire gondoltál. Vmware workstation használatakor a rétegeid: hardware -> host OS -> vmware -> guest OS. De pl vmware gsx server használatakor: hardware -> vmware -> guest OS, tehát a hardware és a vmware (vagy rootkit) között semmi nincs, olyan kernel sem, amibe "bele kellene forgatnod" bármit is.)

"3. Mennyi ido alatt fog ez telepulni?"
Szerintem másodpercek is lehetnek, és nem feltétlenül kell lefoglalnia az összes erőforrásod hozzá... Ismétlem, ez nagyon kicsike kód is lehet!

"4. Hol lesz majd es mekkora lesz majd az eredeti oprendszer?"
Ezt nem értem. Gondolom, az eredeti helyén lesz, eredeti méretűben. Miért kellene bármelyiknek is változnia?

Az Index nem vette túl komolyan hogy kb pontos fordítást adjanak a proof of concept rootkit működéséről... :-)
"a service that scans the target file system for sensitive information and a defense countermeasure to defeat existing VM-detection systems." Ez náluk azt jelenti, hogy kikapcsolja a tűzfalat meg a vírusvédelmet :-) Ami azért butaság, mert a rootkit szempontjából egyiknek sincs jelentősége, hiszen "alattuk" dolgozhat.

Az pedig, hogy VirtualPC/vmware kódot használtak, csak annyit jelent, hogy nem írtak meg mindent újra, hanem ezek létező kódját használták, de ha lesz ebből "élő" kód, akkor valószínűleg úgyis sajátot használ majd.

Nem tudom, nem a jövő héten, de simán el tudok képzelni egy ilyen rosszalkodó programot... :-(

"Az vilagos, de ezek ficsorok javareszt a teljesitmenyen fognak azaltal javitani, hogy a vm-ekhez hasznalt absztrakt algoritmusok attevodnek a hardverre. (javits ki ha tevenek :) )"
Nem tévedsz, és pont ez a lényege, a rootkit teljesítményét növelik, így a juzer tényleg semmit nem lát majd a virtualizáló rétegből.

Koszi, most mar ertem. En az index cikkebol ugy vettem ki, hogy ket operacios rendszer lesz, egyik a fake, masik az "igazi" es mindketto az en eredeti os-em modositott valtozata lesz. De valojaban nem klonoz ez semmit, letrehoz egy virtualizacios reteget, majd tovabbra is az eredeti os-t futtatja, csak ezuttal a virtualizacios reteg felett. Az index tenyleg eleg hanyagul irt rola es zavaros is: "A virtualizáció lényege, hogy egyetlen hardveren több operációs rendszer futhat, a SubVirt esetében ez az eredeti oprendszer és annak kicsinosított klónja."

Viszont vedekezni is lehet ellene, ha pendrive-ra teszel fel bootpartot. Bootolas utan pendrive kihuzos, aztan hastala vista. :)

---------------------
Ригидус а бетегадьбол

Nekem ez még mindig nem kerek. Ha csinál egy virtualizációs réteget, akkor mit virtualizál? A procit? Megengedi a kernelnek, hogy a valódi GDT-t, meg IDT-t, meg LDT-ket írogassa, vagy csak a virtuálisakat? Szóval ha a procit virtualizálja, akkor köbö az első HW-igényes játék futtatásáig tud észrevétlen maradni. Mondjuk egy Quake3 egy 2GHz-es procin, meg jó gyors videókártyán valószínűleg elfutna a virtualizációs réteg fölött is. De a Doom3 biztosan nem. Vagy ez nem fogja érdekelni a rootkit-írókat, mert a titkárnő gépét célozzák meg?
Ha a procit nem rejti el, akkor pedig szerintem le lehet buktatni. Nyilván nehezebb lesz megtalálni, mint más vírusokat, de a mostani rootkit-ekre is vannak keresőprogramok. (Ja a mostani rootkitek Linux-ra többnyire C-ben terjednek, és helyben kell fordítani őket. A sok egyforma Windows-ra lehet csak olyan binárisat írni, amelyik pl. valamelyik Iron Maiden CD védelmében van.)

"Megengedi a kernelnek, hogy a valódi GDT-t, meg IDT-t, meg LDT-ket írogassa, vagy csak a virtuálisakat?"

A virtualisakat fogja, a virtualizacios reteg pedig atiranyitja a fizikaira, annyi modositassal, hogy a lenyeges informacioakat kozben megcsapolja.

Itt a masik dolog, hogy kell megegy oprendszer a virtualis retegbe vagy fele, aminek transzparens halozati kapcsolatot kellene letesiteni kifele amin kijuttatna a lopott informaciokat.

A masik, hogy ennek a kockazatat is lehet szukiteni, ha a routeren szigoruan vezetve vannak a belso IP-k, MAC addressek es ezszerint korlatozza es naplozza a gyanus ip cimekrol erkezo csomagokat.
---------------------
Ригидус а бетегадьбол

"mit virtualizál? A procit?"
Nem kötelezően (valószínűleg nem), a vmware guest is az "igazi" processzort használja (ellentétben pl a Bochs-szal).

"Nyilván nehezebb lesz megtalálni, mint más vírusokat, de a mostani rootkit-ekre is vannak keresőprogramok"
De a mostani rootkitek az operációs rendszeredBEN futnak. Ez olyan, mint ha a vmware-ben futtatott vindózoddal akarnál belepiszkálni a host Linuxodba. Onnan nem is látszik.

A VMWare valóban az igazi procit használja, de csak addig, amíg a kód nem hajt végre privillegizált utasítást. Pl. I/O műveletet, megszakításokat. Az I/O műveleteket a VMWare leemulálja, az pedig lassú. Játéknál rögtön kibukna.
(OFF: egy másik dolog, ami lassú az pl. a real mode <-> protected mode átváltás emulálása. Ezért használhatatlan a VMWare Win95 futtatására.)

( rigidus | 2006. 03. 18., szo – 17:10 )

Kozben vegigondoltam megegyszer, hogyan tud leszedni informaciokat a merevlemezrol,

1. a fajlrendszer ismerete nelkul?
2. titkositott fajlrendszer eseten?

---------------------
Ригидус а бетегадьбол

1. nyilván kell legyen benne valami a fizikai eszköz vezérléséhez (ide, scsi, sata), ezek kötetként való kezeléséhez (pl raid-ek), meg kell bele fs driver. Bonyolult esetben. Egyszerűbb esetben nem használ filerendszert, és ha a guest pont oda akar írni, ahol ő tartja az adatokat, akkor azt mondja neki, hogy rossz, foglalt, valami.

2. Ha ilyet használ egy rendszer, akkor is tartja valahol a kicsomagolt adatokat. Hogy ebbe hol lehet belenyúlni, azt nem tudom, mert soha nem írtam titkosító drivert mondjuk ntfs alá(/fölé). Ebben az esetben lehet, hogy csak azokat tudja ellopni, amihez a juzer amúgy is hozzáfér, de ha belegondolsz, szerintem elég kevés az a gép az összeshez viszonyítva, ahol a rendszer és minden egyéb adat is titkosított eszközön lenne, ahol így van, onnan nem sikerült leszedni és kész.

Valószínűnek tartom egyébként, hogy egy még nem is teljesen implementált és csak hónapokkal későbbre tervezett bejelentésű rootkit egész egyszerűen nem tud titkosítottról lopni. :-))

"Valószínűnek tartom egyébként, hogy egy még nem is teljesen implementált és csak hónapokkal későbbre tervezett bejelentésű rootkit egész egyszerűen nem tud titkosítottról lopni. :-))"

Igen, ezt mar ismerjuk. Par honap mulva megjelenik egy userriogato cikk: "nagykibaszott SubVirt veszely kozeleg". Par egybites cegvezetonek bebarnul a bokaja, majd kovetkezo honapba, a kovetkezo cikk: "izehoze ceg AntiSubVirt technologiat dolgozott ki...". (!egy honap alatt!)

---------------------
Ригидус а бетегадьбол

Hogy a Windows-os titkosítás hogyan megy, azt nem tudom. De a Linux-os viszonylag egyszerűen lelopható, ha már a kernel-en belül vagyunk. Linux alatt egy titkosított loop device-t szokás létrehozni, ami tulajdonképpen egy virtualizációs réteg a vinyó és a fájlrendszer közé:
# losetup -e aes256 /dev/loop0 /dev/hda1
# mount /dev/loop0 /mnt/hda1 -t ext3
Vagyis kernel-en belül a /dev/loop0 és a fájlrendszer közti forgalmat kell szűrni.

Kernel-en kívülről viszont nem lehet.

Ugye, hogy minél jobban belegondolunk, annál nehezebb megcsinálni?

Így az egészet végigondolva, ennek akkor van értelme ha ipari kémkedésre akarod használni. Tehát kevés példányban, kevés gépen.
Mondjuk 4-5 gépen, de akkor meg esélye sincs semmiféle rendszsernek ezt elkapni.

Vannak a populáris virusok amik arra valók pl. hogy botnetet hozzanak létre vagy adatokat lopjanak, pl minden word-doc-ot elkül egy címre. Ezt valaki felfedezi beküldi egy viruslaborba, cafatokra szedik és viola 2 órán bellül irtja a legtöbb viruskergető.
De vannak specifikus virusok is amik külön azért készülnek, hogy valaki az ellenféltől adatot tudjon lopni célzottan, no ez utobbi esetben lehet haszna ennek a rettenetnek. De ezeket specifikusan az adott cég adott környezetére készítik el, nem fogja virusirtó elkapni, nem fog soha bekerülni a virusadatbázisokba.

--
A bus station is where a bus stops. A train station is where a train stops. On my desk, I have a work station

Ilyen egyedi cuccok ma is vannak, bar nepszeruek a hardveres keyloggerek is. Radugja a billentyuzetre, loggol mindent (jelszavakat, quake4-et is :D ), majd nehany het mulva eltavolitjak/cserelik es megy a laborba. Ezeket belso emberek csinaljak, javareszt fel sem fedezik soha, pont azert amit te is irtal.
---------------------
Ригидус а бетегадьбол

A mai csodás wlanos korszakban nem kell hw keylogger szerintem, képzeld el azt, hogy leülsz pár aksival meg egy jobb wifikártyával szerelt laptoppal egy cég parkolójában és miután bent vagy a belső hálózatban, már nem kunszt egy rootkitet feltenni, vagy feltetetni egy userrrel, vagy fileserverre feltenni winamp 5.3 néven és várni a hülye usereket. Vagy hostad-vel lehamisítani a ac-t és átmenő forgalmat loggolni. No abba is hagyom, mert még ötleteket adok valakinek :)
--
A bus station is where a bus stops. A train station is where a train stops. On my desk, I have a work station

:) Próbálj egy wardriveot valahol londonban, pl. az üzleti negyedben, szerintem röhögni fogsz, majd postold az adatokat :) legalább, hogy hány volt kodollatlan és hány wep-es, pesten a nagyköruton ez kb 700 hálózat 400 kodolatlan 250 gyári beállításokkal(kb) ezek már régebbi adatok.
---
A bus station is where a bus stops. A train station is where a train stops. On my desk, I have a work station

Elég elborult koncepciónak tűnik ez az egész nekem is, tekintve hogy a mostani virusok is tudnának kernel módú drivereket használni saját maguk elrejtésére, de mégsem teszik, ha emlékeztek egy fél éve volt egy olyan kijelentés valahol, hogy nemskára minden vírus már kernel módú lesz és szegény virusirtók nem fognják megtalálni, na ebből sem lett semmi, többek között azért, mert elég bonyolult egy ilyen kódot megírni, főleg hibamentessé tenni (mégsem igazán jó ha kékhalállal elhal a virusos gép nem??). Ez a virtuális virus is szerintem ez a kategória egyszerűen túl bonyolult ahhoz, hogy értelem legyen megvalósítani. A mostani rootkitek is el tudnak úgy bújni, hogy nem találja meg a rookit irtó sem, akkor meg minek szenvedni virtualizációval.
Az ismét egy más kérdés hogy mikor lesznek ilyen gépek az átlagembernél, amiben ténylegesen lesz is virtualizáció, hát nem holnap.
Az meg, hogy valami megbuherálja a boot rekordot elég könnyen detektálható nem? Vizsgálom az első 512bytot a winyón és ha oda megy írás akkor mondjuk jelszót kérek és kész. Max visszatérnek a bootrekordot figyelő alaplapok :)
--
A bus station is where a bus stops. A train station is where a train stops. On my desk, I have a work station

"Ez a virtuális virus is szerintem ez a kategória egyszerűen túl bonyolult ahhoz, hogy értelem legyen megvalósítani. A mostani rootkitek is el tudnak úgy bújni, hogy nem találja meg a rookit irtó sem, akkor meg minek szenvedni virtualizációval."

Szerintem eleg jol osszefoglaltad amire ki akartam lyukadni. :)

Tervezoasztalon lehet egy ilyet modellezni, ahol az operacios rendszert is ugy telepitettek fel, hogy minnel konnyebben mukodesre birjak, de a gyakorlatban tobbe kerulne a leves mint a hus.

---------------------
Ригидус а бетегадьбол

( handler | 2006. 03. 18., szo – 18:47 )

Vegre sikerult valami olyan uj problemat feltalalni, amit a vista (vagy kovetkezo windows) tcpa/ngs*/xyz neven futo security/drm rendszeruk segitsegevel lehet csak megoldani. Ugyes.

Hát nem látom az miért oldaná meg, de lehet hogy igazad van.
Még a végén implementálni kell mindenhová.

Egyébként még pár év, és nem is lesz olyan, hogy asztali gép, lesz egy google képes webkliensed, és ott lesz minden:
levelezés google mail
irodai munkák goggle nemtomi (most vették a webes office megoldást)
gps + google map hogy el tudj menni bulizni is és ne tévedj el
google news hirekkel
filmnézés google video
zene google music (gondolom ez is lesz)
könyvtár google könyvtár (ez is már fejlődget)
ezek alapján kell lennie egy google wareznek is majd :)

én vagyok paranoiás, vagy tényleg túl sok dolog kezd google val kezdődni, lehet hogy lesz google cola is meg google hambi?? de google óvszer nem lesz, hogy ne gátolhasd az új felhasználok létrehozását a rendszerhez.

--
A bus station is where a bus stops. A train station is where a train stops. On my desk, I have a work station