16 Ekim 2007 Salı

:: Blue-Pill... Game Over!







Bir rootkit nasıl görünmez olabilir! Yada olabilir mi?
Artık "Proof of Concept" olmayan , kullanılabilen böyle bir yazılım mevcut ve bu rootkit'in nasıl bulunacağı henüz açıklık kazanmış değil...

Joanna Rutkowska ve Alex Tereshkin'in üzerinde çalıştığı "Blue-Pill" yöntemi ile kod, işletim sistemi ile makina (daha doğrusu işlemci) arasına giriyor ve sanal bir işletim sistemi mantığı ile çalışıyor. Kod bilinen VMWare benzeri bir mantıkla işlediği için alt katmandaki yazılımın yani işletim sisteminin şimdilik ruhu duymuyor...



Kod sanallaştırmaya açık olan AMD ve INTEL tabanlı bütün platformlarda çalışıyor...
Kod kendisini önce bir misafir olarak yapılandırıyor ardından sanal ile gerçek (ki ikisi de sanal :) yapının öncelik yada işlemciye göre konum sırasını değiştiriyor...

Kod'un açabileceği zararların ne olacağı hakkında tahminde bulunmak güç değil...
Melez bir virüs yazarak, yayıldıktan sonra sanallaştırma işlemini tamamladığında, yayılma kodunu ayırırmayı başaracak bir strateji geliştirirse gerisi "işletim sistemi" olur...

J. Rutkowska, Blue-Pill'in, AMD ve INTEL tarafından, yani donanımsal olarak engelleneceğinden emin...

AMD ve INTEL'in bir çeşit, PIN, Parola metodu ile bu durumun önüne geçilebileceği vurgulanmış...
(Eski PC ve sunucular için üzgünüz....)

Aksi taktirde kodun %100 görünmez olduğu iddia ediliyor... (ki BlackHat'da çürütmeyi deneyen olmuş ancak başaramamış...)

Yazılımların bulmakta başarı elde edemeyeceğinden ve buna bağlı engellemekte de başarı elde edemeyeceği de görülebiliyor...

Proje sayfası : http://www.bluepillproject.org/
Denemek için kod örneği de mevcut...

if (!g_bCloakEnabled)
return;

if (g_uSubvertedCPUs==g_uNumberOfProcessors) {...

Kod'a kafa yormak isteyen kişinin Assembler ve C bilmesinin yanında, donanımdan da (özellikle CPU mimarisi...) anlaması lazım...

Söyleşi için : Eng. , Tr.

Sunum : http://www.bluepillproject.org/stuff/IsGameOver.ppt