Phần mềm độc hại sẽ không thể bị phát hiện

Một chuyên gia nghiên cứu bảo mật chuyên về rootkit đã phát triển thành công mẫu thử nghiệm một công nghệ mới cho phép tạo ra các phần mềm độc hại "100% vô hình", thậm trí đối với cả hệ thống x64 như Windows Vista.

Joanna Rutkowska - một chuyên gia nghiên cứu công nghệ "ẩn mình" phần mềm độc hại tại hãng bảo mật COSEINC có trụ sở tại Singapore - cho biết công nghệ mới Blue Pill sử dụng công nghệ ảo hoá SVM/Pacifica của AMD có thể giúp tạo ra một phần mềm cực nhỏ nhưng có khả năng kiểm soát toàn bộ hệ điều hành. Nó còn không thể bị phát hiện.

Rutkowska đã có kế hoạch trình diễn ý tưởng mới của mình tại Hội thảo SyScan sẽ được tổ chức tại Singapore vào cuối tháng 7 này và tại Hội nghị Black Hat tại Mỹ vào đầu tháng 8 tới đây.

Ý tưởng không mới

Chuyên gia Rutkowska có tiết lộ cho biết công nghệ mới này dựa vào một giải pháp động "generic method" để chèn một số mã nhị phân vào trong nhân Vista Beta 2 (x64 edition) mà không sinh ra bất kỳ một lỗi nào. Kỹ thuật này đã giúp qua mặt những thay đổi trong chính sách chống rootkit của Windows Vista.

Ý tưởng về một rootkit máy ảo là không mới. các chuyên gia nghiên cứu của Microsoft và trường ĐH Michigan đã tạo ra một rootkit dựa vào công nghệ máy ảo có tên SubVirt. Đây là một rootkit không thể bị phát hiện vì các phần mềm bảo mật không thể tiếp cận được trạng thái của nó.

Giờ đây, Rutkowska tiếp tục phát triển thêm công nghệ này. Tuy nhiên, chuyên gia này cũng khẳng định Blue Pill có thể bị phát hiện nếu công nghệ Pacifica của AMD mắc lỗi.

Sức mạnh từ đâu có?

"Sức mạnh của Blue Pill có được là nhờ vào công nghệ SVM," Rutkowska giải thích. Nếu khả năng phát hiện "generic" được bổ sung vào công nghệ máy ảo, Blue Pill sẽ mất đi khả năng vô hình của nó. Nhưng điều này chỉ có ý nghĩa khi công nghệ Pacifica của AMD bị mắc lỗi mà thôi.

"Mặt khác, nếu bạn không thể bổ sung kỹ thuật phát hiện generic cho SVM trên nền tảng máy ảo, bạn sẽ không bao giờ có thể phát hiện được Blue Pill".

tưởng của Blue Pill là rất đơn giản: Hệ điều hành của bạn nuốt một Blue Pill và nó sẽ hoạt động trong một Matrix (ma trận) được điều khiển bằng một Blue Pill Hypervisor cực nhỏ. Điều này xảy ra trực tiếp khi hệ điều hành đang vận hành, không gây ảnh hưởng đến các thiết bị khác."

Rutkowska cũng nhấn mạnh Blue Pill không hề dựa trên bất kỳ lỗi nào tồn tại trong hệ điều hành. Công nghệ Blue Pill sẽ thuộc độc quyền sở hữu của COSEINC Research và sẽ không được công bố rộng rãi. Nhưng Rutkowska cho biết hãng của cô cũng đã có kế hoạch tổ chức đào tạo về công nghệ mới này và sẽ tiết lộ mã nguồn công nghệ trong những khoá đào tạo như thế.

Hoàng Dũng

Thứ Sáu, 30/06/2006 08:53
31 👨 186