-
Предложен детектор руткитов нового типа
Группа разработчиков North Security Labs предложила детектор руткитов, основанный на аппаратной виртуализации. Заявлена способность детектирования ряда известных руткитов, таких как Shadow Walker и Rustock.
Hypersight Rootkit Detector работает в качестве монитора виртуальной машины. Ядро запускается в качестве гипервизора при старте системы, контролируя в дальнейшем критические операции и оставаясь незаметным как для системы, так и для вредоносного ПО. Контролируются типичные действия руткитов, в том числе попытки перехода в режим гипервизора, характерные для руткитов, приобщившихся к аппаратной виртуализации - наподобие известной Blue Pill.
Реализована поддержка процессоров Intel с технологией VT-x, в ближайшем будущей обещается и поддержка процессоров AMD. Продукт представлен в виде альфа-версии, подключиться к тестированию на свой страх и риск приглашаются все желающие.
Источник: North Security Labs
http://www.northsecuritylabs.com/
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Не получится северный олень из этого. То событие, что я видел на скриншоте, способен сгенерировать любой не слишком правильно написанный HIPS или иной перехватчик SSDT в ядре. Но это можно и обойти, переписав перехватчик или использовав инлайн-перехваты, документированные функции и сложно-детектируемые поля данных. Так что, как отдельный компонент на основе виртуализации оно не сработает. Ring-1 подсистема может лишь служить поддержкой обычной anti-rootkit инструмента, но никак не отдельным инструментом как таковым.
Последний раз редактировалось rav; 17.12.2007 в 14:10.
-
-
Сообщение от
rav
Не получится северный олень из этой поделки, как бы они не старались.
Илья, а где там написано, что должен получиться "северный олень"? =)
Читаем:
Hypersight RD перехватывает и блокирует попытки перехода в режим гипервизора. Данный тип активности присущ руткитам, которые используют аппаратную виртуализацию (Blue Pill, Vitriol). Кроме того, Hypersight RD перехватывает все операции с таблицей страниц, а также с GDT и IDT, что позволяет обнаруживать руткиты, применяющие стелс-технологии для скрытия в памяти (руткиты типа Shadow Walker).
Ни больше, ни меньше... Т.е., по сути, это "как-бы" антирукит (авторы определяют его как "VIPS") для вполне специфического применения, точнее - для некоторых вполне определенных методик, применяемых отдельными руткитами (и не только руткитами - для этих случаев есть отдельная проясняющая ситуацию сноска в описании).
-
-
Просто на сайте они позиционируют его как средство борьбы с руткитами в основном. А на это средство оно как раз и не шибко тянет. Ну изменит руткит методики внедрения и сокрытия себя в системе- и всё, отвалился VIPS. HIPS-системы значительно более надёжны в этом смысле- если всё спроектировано грамотно, как средство борьбы с руктитами оно надёжнее будет.
Добавлено через 2 минуты
Кстати, мне всё больше кажется, что эта тулза- изделие тех же людей, что делали RKU. Например, домен зареган через прокси...
Последний раз редактировалось rav; 17.12.2007 в 14:32.
Причина: Добавлено
-
-
Сообщение от
rav
Просто на сайте они позиционируют его как средство борьбы с руткитами в основном.
Зато вот что написано в пресс-релизе:
Однако было бы неправильно считать, что аппаратная виртуализация может обеспечить полную защиту ПК. Комплексная защита должна сочетать методы, применяемые в системах безопасности 1-го, 2-го, 3-го и 4-го типов (сигнатурные сканеры, системы предупреждения вторжений, сканеры целостности ядра, виртуальная система предупреждения вторжений)
Позиционирование и понимание ситуации вполне адекватное, разве нет?
-
-
Сообщение от
aintrust
Зато вот что написано в пресс-релизе:
А, я его не читал.
Сообщение от
aintrust
Позиционирование и понимание ситуации вполне адекватное, разве нет?
Да, совершенно верно.
-
-
насколько я понял сначала запускаеться данный антируткит, а потом он уже передает управление ядру оси.. если неправ поправьте меня..
Хотелось бы уточнить, разве может быть какой-то способ обхода? разве это не тоже самое(примерно) что хард подрубить к другому компу(запустить под другой осью)..как может себя что-то скрывать если оно не запущенно..
Заранее благодарю экспертов за ответ=))
или я чего-то недоганяюю..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
"гамнoсофт" имхо, ZenaDriver мне показалась более практичной =)
-
-
Сообщение от
Ego1st
или я чего-то недоганяюю..
Угу, именно. Системы хардверной виртуализации представляют собой слой кода с привилегшями ring -1, что позволяет перехватывать операции манипулирования портами, системными областями памяти и регистрами. То есть, тоже самое, что делают обычные программы виртуализации.
-
-
Сообщение от
rav
Угу, именно. Системы хардверной виртуализации представляют собой слой кода с привилегшями ring -1, что позволяет перехватывать операции манипулирования портами, системными областями памяти и регистрами. То есть, тоже самое, что делают обычные программы виртуализации.
ring -1 запускаеться до ядра оси?
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
ring-1 - это новый уровень привилегий, доступный в процессоре для реализации хардверной виртуализации. Вопрос неправилен по своей сути.
-
-
Большое спасибо rav за пояснение изучу данный вопрос более подробно..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
rav
Кстати, мне всё больше кажется, что эта тулза- изделие тех же людей, что делали RKU
Они это не особо скрывают.
Сообщение от
aintrust
Зато вот что написано в пресс-релизе:
Позиционирование и понимание ситуации вполне адекватное, разве нет?
Почти. НО разница тут примерно как между security и safety.
Защита должна не что-то в себе сочетать, а обеспечивать безопасность. Защита от вторжений malware подразумевает гарантию целостности системы. Это обеспечивается гарантией неизменности данных (кода) системы. Сигнатурные сканеры и сканеры целостности ядра (а полноценные реализации анхукеров практически не возможны на сегодняшний день) - это всего лишь часть необходимых для контроля вещей. Про другие можно прочитать например в докладе Semantec
-
Сообщение от
S.T.A.S.
Защита от вторжений malware подразумевает гарантию целостности системы.
Скорее, гарантию некритичности подобных изменений. Например, создали тебе на диске файл (или же ADS-поток в уже существующем), но в автозагрузку это дело прописать обломилось. Система изменилась? Да. Критично? Нет, поскольку собственно заражение не состоялось.
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
rav
Например, создали тебе на диске файл (или же ADS-поток в уже существующем), но в автозагрузку это дело прописать обломилось. Система изменилась? Да. Критично? Нет, поскольку собственно заражение не состоялось.
Другой сценарий - поменяли существующий (загружаемый) файл. Прямой работой с диском. Надёжная система должна гарантировать некритичность таких изменений.
-
Сообщение от
S.T.A.S.
Другой сценарий - поменяли существующий (загружаемый) файл. Прямой работой с диском. Надёжная система должна гарантировать некритичность таких изменений.
Надёжная систеима должна или давать возможность откатить подобные изменения либо блокировать их.
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
rav
Надёжная система должна или давать возможность откатить подобные изменения либо блокировать их.
Необходимые и достаточные условия - очень разные вещи. Авторы Hypersight указали не все необходимые условия (потому что "Rustock.C" судя по всему детектился AdInf'ом). У тебя же выходит, что достаточные ограничиваются только 2мя; возможная ошибочность этого утверждения следует из того, что если мы о чем-то не знаем, это не значит что этого не может быть. Вот еще достаточное условие - проверять целостность при чтении. Да, работа системы может быть нарушена (как и в случае возможности отката (отката)). Но она не будет компрометирована.
Добавлено через 2 минуты
Да, кстати, не уверен, что возможночть отката - достаточное условие.
Последний раз редактировалось S.T.A.S.; 21.12.2007 в 22:40.
Причина: Добавлено