» »

Predstavitev Ring -3 rootkitov na BlackHat konferenci

Slo-Tech - Rafal Wojtczuk in Alexander Tereshkin iz Invisible Things Lab sta na včerajšnji predstavitvi na konferenci Black Hat predstavila Ring -3 rootkite.

Kot je znano, so rootkiti posebna (zlonamerna) programska oprema, ki se skuša prikriti na računalniku. Bolj znani so tim. Ring 3 in Ring 0 rootkiti (prvi tečejo s privilegiji uporabnika, drugi s privilegiji jedra operacijskega sistema). Med manj znanimi pa so Ring -1 oziroma (strojni) hipervizorski rootkiti in Ring -2 rootkiti (ki izkoriščajo ranljivosti v SMM pomnilniku). Kot sta februarja letos pokazala Wojtczuk in Rutkowska je namreč s pomočjo ranljivosti v SMM mogoče izvesti uspešen napad na Intel TXT (Trusted Execution Technology) ter tako računalnik okužiti z "nevidno" zlonamerno programsko kodo.

Največ odkritij na področju Ring -1 in Ring -2 rootkitov si lastijo v Invisible Things Labu, ki ga vodi Joanna Rutkowska. Včeraj pa je ista ekipa predstavila še Ring -3 rootkite.

Pokazali so, kako je mogoče zaobiti zaščito, ki onemogoča flashanje BIOS-a na Intel matičnih ploščah z AMT (Active Management Technology) ter s tem izvesti uspešen programski napad na Intelove matične plošče z Q35 naborom (napad na Q45 naboru ne deluje). Napad (zaenkrat) še ni generaliziran, problematično pa je, da se vsaj nekaj AMT kode izvede tudi v primeru, če uporabnik onemogoči AMT v BIOS-u.

Vsekakor gre za zanimivo področje raziskovanja na področju informacijske varnosti, saj se z napadi na strojno opremo ukvarja le peščica raziskovalcev. Da gre za področje, ki lahko resno ogrozi varnost informacijskih sistemov pa kažejo tudi raziskave Arriga Triulzija o napadih na mrežne kartice, Johna Heasmana o PCI strojnih rootkitih, znani pa so tudi napadi preko firewire in USB naprav.

Made in China.

8 komentarjev

ikeman ::

Ring-3 rootkit :)) jao kak je folk naiven..
ce pa mas dedicated CPU ki deluje v (ring-0)-1 nacinu - bravo intel.
Tile "security adviseor-ji" pa veselo sluzijo.

Ni cudno da jih blackHat-i tako veselo ownajo.

Zgodovina sprememb…

  • spremenilo: ikeman ()

terryww ::

kako pa je kaj z amd, via platformami?
It is the night. My body's weak.
I'm on the run. No time to sleep.

Matthai ::

Blue Pill delluje na AMD-V in Intel VT.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

jype ::

Matthai> Blue Pill delluje na AMD-V in Intel VT.

Če ni naložen kvm_amd oz. kvm_intel modul.

Če je, potem ne deluje.

Matthai ::

Ja, ampak za xen supervizorje je rutkowska dokazala, da je možno nad njimi poganjati rootkit.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

jype ::

Ker xen hipervizor ni pravi VT hipervizor.

terryww ::

me zanima kak pri de Raadtu rešujejo podobne stvari in kak odnos imajo do rootkitov nasploh, glede na to, da je že pred leti bentil intelovo in amdjovo arhitekturo
It is the night. My body's weak.
I'm on the run. No time to sleep.

jype ::

Hja... Podpirajo alternativne arhitekture, I guess...

Glede na to da je vedno več hardvera dejansko implementiranega v softveru (torej v firmware) je reč precej zoprna.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nov članek: "All your firmware are belong to us" (strani: 1 2 3 )

Oddelek: Novice / Nova vsebina
1388476 (5316) arrigo
»

Linux varnost (strani: 1 2 )

Oddelek: Informacijska varnost
553196 (1736) fiction
»

Predstavitev Ring -3 rootkitov na BlackHat konferenci

Oddelek: Novice / Varnost
82015 (1479) jype
»

Intervju z Joanno Rutkowsko (strani: 1 2 )

Oddelek: Novice / Varnost
544737 (2918) Sago
»

Napadi iz virtualnih strojev

Oddelek: Novice / Varnost
221704 (1704) MrStein

Več podobnih tem