» »

Predstavitev Ring -3 rootkitov na BlackHat konferenci

Predstavitev Ring -3 rootkitov na BlackHat konferenci

Slo-Tech - Rafal Wojtczuk in Alexander Tereshkin iz Invisible Things Lab sta na včerajšnji predstavitvi na konferenci Black Hat predstavila Ring -3 rootkite.

Kot je znano, so rootkiti posebna (zlonamerna) programska oprema, ki se skuša prikriti na računalniku. Bolj znani so tim. Ring 3 in Ring 0 rootkiti (prvi tečejo s privilegiji uporabnika, drugi s privilegiji jedra operacijskega sistema). Med manj znanimi pa so Ring -1 oziroma (strojni) hipervizorski rootkiti in Ring -2 rootkiti (ki izkoriščajo ranljivosti v SMM pomnilniku). Kot sta februarja letos pokazala Wojtczuk in Rutkowska je namreč s pomočjo ranljivosti v SMM mogoče izvesti uspešen napad na Intel TXT (Trusted Execution Technology) ter tako računalnik okužiti z "nevidno" zlonamerno programsko kodo.

Največ odkritij na področju Ring -1 in Ring -2 rootkitov si lastijo v Invisible Things Labu, ki ga vodi Joanna Rutkowska. Včeraj pa je ista ekipa predstavila še Ring -3 rootkite.

Pokazali so, kako je mogoče zaobiti zaščito, ki onemogoča flashanje BIOS-a na Intel matičnih ploščah z AMT (Active Management Technology) ter s tem izvesti uspešen programski napad na Intelove matične plošče z Q35 naborom (napad na Q45 naboru ne deluje). Napad (zaenkrat) še ni generaliziran, problematično pa je, da se vsaj nekaj AMT kode izvede tudi v primeru, če uporabnik onemogoči AMT v BIOS-u.

Vsekakor gre za zanimivo področje raziskovanja na področju informacijske varnosti, saj se z napadi na strojno opremo ukvarja le peščica raziskovalcev. Da gre za področje, ki lahko resno ogrozi varnost informacijskih sistemov pa kažejo tudi raziskave Arriga Triulzija o napadih na mrežne kartice, Johna Heasmana o PCI strojnih rootkitih, znani pa so tudi napadi preko firewire in USB naprav.

Made in China.

8 komentarjev

ikeman ::

Ring-3 rootkit :)) jao kak je folk naiven..
ce pa mas dedicated CPU ki deluje v (ring-0)-1 nacinu - bravo intel.
Tile "security adviseor-ji" pa veselo sluzijo.

Ni cudno da jih blackHat-i tako veselo ownajo.

Zgodovina sprememb…

  • spremenilo: ikeman ()

terryww ::

kako pa je kaj z amd, via platformami?
It is the night. My body's weak.
I'm on the run. No time to sleep.

poweroff ::

Blue Pill delluje na AMD-V in Intel VT.
sudo poweroff

jype ::

Matthai> Blue Pill delluje na AMD-V in Intel VT.

Če ni naložen kvm_amd oz. kvm_intel modul.

Če je, potem ne deluje.

poweroff ::

Ja, ampak za xen supervizorje je rutkowska dokazala, da je možno nad njimi poganjati rootkit.
sudo poweroff

jype ::

Ker xen hipervizor ni pravi VT hipervizor.

terryww ::

me zanima kak pri de Raadtu rešujejo podobne stvari in kak odnos imajo do rootkitov nasploh, glede na to, da je že pred leti bentil intelovo in amdjovo arhitekturo
It is the night. My body's weak.
I'm on the run. No time to sleep.

jype ::

Hja... Podpirajo alternativne arhitekture, I guess...

Glede na to da je vedno več hardvera dejansko implementiranega v softveru (torej v firmware) je reč precej zoprna.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

win32 api vs "linux api"

Oddelek: Programiranje
273806 (3079) denial
»

Linux varnost (strani: 1 2 )

Oddelek: Informacijska varnost
557116 (5656) fiction
»

Intervju z Joanno Rutkowsko (strani: 1 2 )

Oddelek: Novice / Varnost
548776 (6957) c3p0
»

Microsoft popustil razvijalcem varnostne programske opreme

Oddelek: Novice / Varnost
325274 (2614) denial

Več podobnih tem