Các nhà nghiên cứu malware đang phát triển công cụ Blue Pill mạnh hơn

Phần mềm chiếm quyền điều khiển phục vụ cho mục đích nghiên cứu được cải tiến đáng kể với dịch vụ ảo hoá của Vista.

Các nhà nghiên cứu phát triển Blue Pill – một phần mềm độc hại malware khó bị phát hiện chạy trên hệ điều hành Windows Vista của Microsoft - đang cố gắng phát triển thêm tính năng cho gói phần mềm này nhằm mục đích nghiên cứu. Có thể công việc sẽ hoàn thành trong một vài tháng tới.

Chuyên gia nghiên cứu malware giàu kinh nghiệm người Ba Lan Joanna Rutkowska, làm việc tại Computer Security Initiative Consultancy Pte. Ltd. (COSEINC) của Singapore đã tạo ra bản Blue Pill đầu tiên vào đầu năm nay. “Blue Pill sẽ chiếm quyền điều khiển của một hệ điều hành, chuyển sang một máy ảo và điểu khiển nó”, Joanna phát biểu tại Hội nghị HITB (Hack in the Box Security Conference ) ở Kuala Lumpur, Malaysia.

Blue Pill làm việc với kỹ thuật ảo hoá phần cứng nâng cao trong vi xử lý của hãng Advanced Micro Devices và Intel Virtualization. Nó cho phép nhiều hệ điều hành chạy đồng thời và cùng một lúc có thể thực thi nhiều ứng dụng tại các phân vùng riêng. “Công nghệ ảo hoá này có thể cho phép chúng ta phát triển được các gói malware 100% không bị phát giác”, Rutkowsk nói.

Bản Blue Pill đầu tiên được tạo ra hồi đầu năm đã đạt được mục đích này, nhưng thời gian máy tính sử dụng để hoàn thành một hoạt động nào đó, về mặt lý thuyết có thể được dùng để dò tìm xem liệu Blue Pill có đang chạy trên một máy tính nào đó hay không. Hiện Rutkowska đang phát triển phiên bản Blue Pill không bị phát giác mới sử dụng phương thức timing này.

Phân tích thời gian hay không hoàn toàn chỉ mang tính lý thuyết. Việc dò tìm Blue Pill vẫn còn nhiều tranh cãi. Có người cho rằng phương thức này dễ thực hiện, nhưng Rutkowska thì không chắc. “Bạn phải có một nguồn thời gian đáng tin cậy. Nhưng bạn không thể dựa vào đồng hồ nội bộ trong máy. Vì có thể nó cũng bị Blue Pill phá huỷ”. Rutkowska còn bổ sung rằng các phương thức thời gian khác cũng rất dễ để lại lỗ hổng khi thực thi.

Thêm một cách bảo vệ nữa trước Blue Pill là loại bỏ khả năng ảo hoá của hệ điều hành nhưng như thế thì không thông minh lắm. “Con người phải mất hàng năm trời mới phát triển được các vi xử lý với chức năng ảo hoá. Và bây giờ chúng ta mua các vi xử lý này về chỉ để loại bỏ khả năng đó của nó? Nghe thật nực cười”.

Biện pháp thiết thực hơn là Microsoft bỏ chức năng phân trang của nhân bộ nhớ trong Vista. Tức là chúng ta phải load mã nguồn và thiết bị với xấp xỉ 80 MB dữ liệu vào bộ nhớ chính. Điều này sẽ ngăn cản Blue Bill truy cập nhân kernel và mã thực thi. “Ai quan tâm tới 80 MB dữ liệu? Đó là lý do vì sao tôi đã quá ngạc nhiên khi mặc dầu tôi đã đề cập đến kiểu tấn công này trong hội nghị SysCan hồi cuối tháng 7 nhưng nó không hề được sửa trong Vista RC1”.

Đáp lại, một chuyên gia bảo mật của Microsoft nói rằng công ty vẫn đang tiếp tục nâng cấp tính năng bảo mật cho Vista RC1 trước khi phát hành bản chính thức cho khách hàng. “Chúng tôi vẫn còn một vài tháng”, Mike Reavey, quản lý chương trình tại trung tâm Security Response Center của Microsoft nói.