這種模仿軟件虛擬機(jī)形式的惡意rootkit軟件能夠被檢測(cè)出來(lái)嗎？當(dāng)安全研究員在黑客大會(huì)上提出他們的最新發(fā)現(xiàn)時(shí)，討論者人頭攢動(dòng)。
Invisible Things公司的研究員Joanna Rutkowska在去年的黑客大會(huì)上描述和證明了她研發(fā)的rootkit工具Blue Pill，正是這一舉動(dòng)使其一夜成名，并引發(fā)了大家對(duì)虛擬rootkit技術(shù)極大的興趣。禮拜三，Rutkowska來(lái)到黑客大會(huì)承認(rèn)研究員Edgar Barbosa針對(duì)Blue Pill的檢測(cè)方法是目前為止最成功的。她和她的同事，研究員Alexander Tereshkin在經(jīng)過(guò)一番高難度的滲透試驗(yàn)后說(shuō)，“恭喜你，Edgar”，并稱她和她的同事尚未找到繞過(guò)這種檢測(cè)方法的途徑，Edgar的這種檢測(cè)方法叫作“反基于”檢測(cè)，Edgar在7月份SyScan會(huì)議上一篇論文中詳細(xì)介紹了該檢測(cè)方法。Rutkowska同時(shí)還說(shuō)她已經(jīng)將Blue Pill的代碼放在了互聯(lián)網(wǎng)上，可共公眾下載。并建立了一個(gè)Blue Pill項(xiàng)目，Blue Pill自從去年公布以來(lái)已經(jīng)出現(xiàn)了很多變種，包括一種叫超級(jí)監(jiān)視巢，其潛藏一個(gè)虛擬機(jī)惡意軟件并筑巢在另一個(gè)虛擬機(jī)惡意軟件。Rutkowska說(shuō)“現(xiàn)在可以自由地上傳自己的Blue Pill了”。
在另一方面，Rutkowska之前還發(fā)現(xiàn)了微軟的代碼簽名安全漏洞，代碼簽名是一種利用微軟授權(quán)簽名證書的內(nèi)核保護(hù)技術(shù)，Rutkowska去年就發(fā)展示了一種利用該漏洞進(jìn)行攻擊的例子，其允許攻擊者在64位的Vista上上傳惡意軟件，在幾個(gè)月后微軟已經(jīng)通過(guò)修改相應(yīng)API修補(bǔ)了該漏洞。然而，在禮拜三，Rutkowska稱她和同事Tereshkin又發(fā)現(xiàn)了一個(gè)Vista上關(guān)于第三方驅(qū)動(dòng)的內(nèi)核防護(hù)漏洞，該漏洞也是關(guān)于數(shù)字簽名的，很明顯的漏洞。同時(shí)Rutkowska提醒注意說(shuō)對(duì)于獲取微軟授權(quán)的數(shù)字簽名證書來(lái)說(shuō)太簡(jiǎn)單了，花250美元就可以一站式完成。微軟對(duì)此沒(méi)有立即做出回應(yīng)。
早先在黑客大會(huì)上一篇名為“不要告訴Joanna，虛擬Rootkit已經(jīng)死了”的討論會(huì)上，Matasano公司的安全研究員Thomas Ptacek、Root實(shí)驗(yàn)室的Nate Lawson和賽門鐵克公司的Peter Ferrie三人描述了如何通過(guò)三種技術(shù)方案找到檢測(cè)虛擬機(jī)型惡意軟件的途徑，他們使用的這三種技術(shù)分別是旁路攻擊、優(yōu)點(diǎn)攻擊和性能事件計(jì)數(shù)。
然而，Ptacek說(shuō)最后研究重點(diǎn)放在了檢測(cè)虛擬惡意軟件Vitriol上，該軟件是由研究員Dino Dai針對(duì)VMware開發(fā)的。這是因?yàn)閂itriol是僅有的幾個(gè)虛擬惡意軟件樣本之一，之前Rutkowska拒絕公開Blue Pill的代碼。三位研究員表示他們會(huì)將研究成果公布于眾，并會(huì)在最近幾天發(fā)布一個(gè)檢測(cè)虛擬惡意代碼的框架軟件，稱為Samsara。