Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hi.

Ich hab irgendwo einen Artikel gesehen, da ging es um "Virtualisierung mal auf die böse Art", d.h. eine Schadsoftware kann ein laufendes WindowsXP in ne virtuelle Maschine verschieben (für den Benutzer unbemerkt) und parallel ne zweite virtuelle Maschine mit reiner Schadsoftware aufziehen (die prinzipbedingt nicht vom Virenscanner in der original-XP-Installation erfasst wird).

Ich weiß nimmer, ob die Software schon raus ist oder ob es da "nur" um einen Wettbewerb zur Erstellung ging?

Weiss jemand näheres?

Bye.

Geschrieben
Die gibt es wohl schon...

Als (angezweifelter) Proof-of-Concept oder In-the-Wild?

Wenn man sich den eingefangen hat, dann muss man den ja eigentlich sehen, wenn man von CD bootet. Bzw. manche Leute nutzen ja die gesamte Platte, wo installiert der sich da?

  • 2 Wochen später...
Geschrieben

Hier gibts Neuigkeiten: heise online - Virtualisierungs-Rootkit Blue Pill frei verfügbar

=================================================

Die Rootkits-Spezialistin Joanna Rutkowska hat den Quellcode einer komplett neu geschriebenen Version des Virtualisierungs-Rootkits Blue Pill frei zugänglich gemacht. Bereits auf der Black-Hat-Konferenz in Las Vegas 2006 stellt sie einen Prototypen des Rootkits vor. Das neue Blue Pill wurde nicht nur überarbeitet, sondern bietet neue Funktionen und setzt laut Beschreibung nun auf die Virtualisierungsunterstützung moderner Prozessoren (HVM, hardware virtualized machines).

Blue Pill soll damit in der Lage sein, ein laufendes Windows in eine virtuelle Umgebung zu verschieben – ganz ohne Neustart und für den Anwender unsichtbar. Damit ist es so aus dem System heraus mit bisher bekannten Methoden nicht aufzuspüren. Blue Pill unterstützt dabei AMDs Virtualisierungslösung SVM/Pacifica, um Windows während des Betriebs einen Hypervisor unterzuschieben. Intels Lösung VT-x kann Blue Pill noch nicht nutzen.

Dafür soll Blue Pill einige Funktionen bieten, die seine Erkennenung durch Rootkit-Detektoren erschweren sollen. Unter anderem soll es in der Lage sein, auch verschachtelte Hypervisors zu unterstützen, sowie die Abfrage des Time Stamp Clock Registers (TSCR) zu manipulieren (RDTSC cheating), um zu verhindern, dass ein Spürhund gestohlene CPU-Zyklen entdeckt. Offenbar haben Rutkowsa und der Mitautor von Blue Pill, Alexander Tereshkin, damit auf die Kritik von Thomas Ptacek von Matasano Security, Nate Lawson von Root Labs und Peter Ferrie von Symantec reagiert: Sie wollen nicht so recht glauben, dass Blue Pill unentdeckbar ist und hatten Rutkowsa zu einem Wettkampf herausgefordert – dem sie allerdings geschickt aus dem Wege ging.

Allerdings gibt es in der nun veröffentlichten Version trotzdem ein paar Einschränkungen: Virtual PC 2007 stürzt ab, wenn es in Blue Pill läuft – womit Ptacek, Lawson und Ferrie einen ersten Treffer erzielen könnten. Zudem soll die Manipulation des Time Stamp Registers (RDTSC cheating) noch sehr einfach implementiert sein. Die derzeit zum Download angebotene Version lässt sich offenbar nur unter Windows mit dem Driver Development Kit (NTDDK) übersetzen.

=================================================

Geschrieben

Naja, ich vermute, dass die Signatur vom eig. Code schon den Weg in die AV-Labs macht. Zudem warten laut Bericht die Hersteller ja nur auf diese "Herausforderung".

Zumal gibt es ja auch schon möglichkeiten, um rauszufinden, ob eine Maschine in einer VM läuft (Hab das leider grad nicht mehr bei Hand). Ich denke, dass es nicht sooo dramatisch wird.

Geschrieben
Zumal gibt es ja auch schon möglichkeiten, um rauszufinden, ob eine Maschine in einer VM läuft (Hab das leider grad nicht mehr bei Hand). Ich denke, dass es nicht sooo dramatisch wird.

heisst red pill. Wieviel Leute laden sich so ein Tool runter? MS verlangt ja oft/immer WGA, da fallen ja die ganzen gecrackten XP-Versionen durch. und z.b. meine Freundin hat (immer noch) analog-modem 56k, da hat sie seit monaten keine antiviruspattern selbst gezogen (von mir auf usb-stick mitgebracht)

Geschrieben

Richtig, Red Pill... ;)

Jeder sollte ein Grundverständnis für den sicheren Umgang mit Internet haben. Ich z.B. erkläre jedem, dem ich einen Computer installiere, wie der AV funktioniert, dass er auf dem laufenden gehalten werden muss und woran man erkennt, ob er läuft. Ggf. das gleiche bei der Firewall. Auch wenn es manchmal nerven kostet, das jemandem zu erklären. ;)

Lustig ist ja, mal nebenbei, dass Red Pill nur auf Intel läuft, und Blue Pill nur auf AMD-Maschinen.

Ich warte auf Verschwörungstheorien. :D

Geschrieben
[...]

Lustig ist ja, mal nebenbei, dass Red Pill nur auf Intel läuft, und Blue Pill nur auf AMD-Maschinen.

Ich warte auf Verschwörungstheorien. :D

wenn Redpill nur auf Intel, und Bluepill nur auf AMD CPU's läuft, wie kann man dann Redpill dazu verwenden um herauszubekommen ob Bluepill installiert ist?

oder habe ich da jetzt etwas falsch verstanden?

heisst red pill. Wieviel Leute laden sich so ein Tool runter? MS verlangt ja oft/immer WGA, da fallen ja die ganzen gecrackten XP-Versionen durch. und z.b. meine Freundin hat (immer noch) analog-modem 56k, da hat sie seit monaten keine antiviruspattern selbst gezogen (von mir auf usb-stick mitgebracht)

fragezeichenquark

Geschrieben

Er meinte es, meinem Verständnis nach, generell. Die Information, dass die beiden für verschiedene Prozessortypen bestimmt sind, stand zu dem Zeitpunkt noch nicht im Raum.

Geschrieben

ich habe das in diesem Thread so verstanden:

Redpill dient dazu, herauszubekommen ob der PC in einer Virtuellen Maschine läuft.

Bluepill dagegen "schiebt" ein Betriebssystem vom Benutzer unbemerkt in eine virtuelle Maschine

Demzufolge könnte Redpill den Bluepill nachweisen.

oder bin ich jetzt vollkommen in der falschen Matrix?

Geschrieben

Eine Möglichkeit nachzuweisen, dass man in einer VM läuft ist z.B. einen zweiten Hypervisor zu starten. Ein Hypervisor überwacht die VM und kontrolliert den Zugriff auf die Hardware etc. In einer von einem Hypervisor überwachten Umgebung läuft normalerweise kein zweiter Hypervisor.

Eine weitere Möglichkeit ist es, die fehlende Prozessorzeit zu ermitteln. Da zur Virtualisierung auch Prozessorzeit benötigt wird, steht die natürlich dem virtualisierten System nicht zur Verfügung.

Beides soll von BluePill abgefangen werden. In der Realität tut es das aber wohl nicht 100%.

Die eine Seite wartet auf die Herausforderung eine Virtualisierung zu entdecken, die andere Seite auf die Herausforderung eine Virtualisierung verstecken zu können. Wer am Ende gewinnt, keine Ahnung.

Und wenn man sich die Verbreitung von Viren etc. ansieht, dann braucht man sich keine große Hoffnung zu machen a la: "Die Signaturen sind doch schon längst upgedatet". Ich kenne immer noch Leute, die mich erstmal verdutzt angucken, wenn ich sie nach ihrem Antivirus-Programm frage...

EDIT:

Ach ja... weil es gerade irgendwie passend ist ;)

Stell dir vor, du bist in einem total dunklen Raum. Absolut dunkel, kein bisschen Licht. Die Wände sind nicht zu erreichen (praktisch grenzenlos). Wie würdest du sicher feststellen können, ob du dich nicht auf einem Förderband befindest, das sich langsam bewegt und dessen Rand du aber nicht erreichen kannst?

Geschrieben
[...]

Ach ja... weil es gerade irgendwie passend ist ;)

Stell dir vor, du bist in einem total dunklen Raum. Absolut dunkel, kein bisschen Licht. Die Wände sind nicht zu erreichen (praktisch grenzenlos). Wie würdest du sicher feststellen können, ob du dich nicht auf einem Förderband befindest, das sich langsam bewegt und dessen Rand du aber nicht erreichen kannst?

Ich würde etwas nach oben werfen und beobachten, ob es auf mich oder neben mich fällt. :)

zum Thema: Abgesehen davon das die meisten End-Anwender wahrscheinlich schon bei dem Wort "Virtualisierung" ein Fragezeichen im Gesicht haben ist es klar das ein Großteil der User soetwas wahrscheinlich nicht merken würde (z.B. weil kein oder ein veralteter Virenscanner installiert ist).

Geschrieben
Ich würde etwas nach oben werfen und beobachten, ob es auf mich oder neben mich fällt. :)

Heute morgen bei der Fahrt im auto ist mir eingefallen, das Gedankenexperiment geht ganz anders:

Es befinden sich 2 Laufbänder nebeneinander, du siehst nichts und befindest dich auf einem der Bänder. Du kannst auf das andere wechseln (gehen, springen etc.) aber nicht davon runter. Eines der Bänder bewegt sich, das andere nicht. Kannst du merken welches der beiden sich bewegt?

EDIT:

Und von daher passt es dann doch nicht so 100% zum virtualisierten Betriebssystem in dem du dich befindest, oder eben nicht...

Geschrieben
Einfach auf beiden Bänder etwa nach oben werfern und schauen wo es runterfällt.

Das funktioniert nicht. Wenn du auf einem sich bewegenden Band etwas senkrecht nach oben wirfst, behält es die horizontale Geschwindigkeit des Bandes bei.

Wenn du im fahrenden Auto einen Ball senkrecht nach oben wirfst, fliegt er dir ja auch nicht ins Gesicht, sondern landet wieder in deiner Hand. ;)

Geschrieben

wenn man es wirklich physikalisch betrachten würde, und ich auf einem fahrenden auto stehe, einen ball exakt im rechten winkel weit nach oben werfe, kommt der zu 100% nicht wieder in den ausgangspunkt zurück!

das wird am ehesten klar, wenn man alle faktoren stark vergrößert -> geschwindigkeit des auto + wurf erhöhen!

Geschrieben
wenn man es wirklich physikalisch betrachten würde, und ich auf einem fahrenden auto stehe, einen ball exakt im rechten winkel weit nach oben werfe, kommt der zu 100% nicht wieder in den ausgangspunkt zurück!
Nein, er landet wieder in deiner Hand (wenn das Auto seine Geschwindigkeit nicht ändert, und der Ball nicht durch Fahrtwind o.ä. abgelenkt wird). Die Hand hat sich natürlich inzwischen weiterbewegt.
Geschrieben
wenn man es wirklich physikalisch betrachten würde, und ich auf einem fahrenden auto stehe, einen ball exakt im rechten winkel weit nach oben werfe, kommt der zu 100% nicht wieder in den ausgangspunkt zurück!

Doch sicher.

Fakt ist: Die Erde dreht sich um sich selbst? Stimmst Du zu: Ja oder Nein?

Fakt ist: Die Erde dreht sich um sich selbst in einem Tag? Stimmst Du zu: Ja oder Nein?

Wenn du einen Basketball nach unten fallen lässt (schwerkraft) dann springt senkrecht nach oben zurück. Stimmst Du zu: Ja oder Nein?

Gemäss deiner These müsste er ja dann mit Winkel zurückspringen.

Geschrieben
wie sollte er? ich bewege mich mit meinem auto vom ball fort!
Nein, tust du nicht. Wenn du in einem sich bewegenden Bezugssystem etwas senkrecht nach oben wirfst, hast du als Resultierende die Überlagerung der senkrechten Bewegung des Wurfs und der horizontalen des Bezugssystems. Klassische Newtonsche Mechanik.

Wäre auch etwas gefährlich, wenn du im Flugzeug einen Ball fallen lässt, und der bohrt sich dann mit mehreren hundert Kilometern pro Stunde in dich rein ;)

Die Sonne (und damit auch die Erde) bewegt sich übrigens mit über 200 Kilometern pro Sekunde um das Zentrum der Milchstraße (auch wenn das nur im relativistischen Sinne eine gleichförmige Bewegung ist). Es wäre schlecht, wenn sich das so auswirken würde, wie du es beschreibst.

Geschrieben
Doch sicher.

Fakt ist: Die Erde dreht sich um sich selbst? Stimmst Du zu: Ja oder Nein?

Fakt ist: Die Erde dreht sich um sich selbst in einem Tag? Stimmst Du zu: Ja oder Nein?

Wenn du einen Basketball nach unten fallen lässt (schwerkraft) dann springt senkrecht nach oben zurück. Stimmst Du zu: Ja oder Nein?

Gemäss deiner These müsste er ja dann mit Winkel zurückspringen.

Ersten drei fakten JA!

Gemäss meiner These, landet der Ball dort wo er hinaufgewurfen wurde!

"Klotzkopp schrieb. Wenn du im fahrenden Auto einen Ball senkrecht nach oben wirfst, fliegt er dir ja auch nicht ins Gesicht, sondern landet wieder in deiner Hand."

Und das würde bedeuten das er in einem Winkel nach von auf dei Hand des Werfers zurückfliegt 8der vom Ausgangspunkt sich durch das fahrende Auto entfernt hat)

Wenn ich auf einem Feld renne, und meinen ball in die Luft werfe, und weiter renne. Landet er garantiert nicht wieder in meiner hand!!

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...