[新聞]虛擬技術新生的隱形殺手─藍色小丸子

新加坡IT安全公司COSEINC惡意程式研究人員Joanna Rutkowska表示，該公司利用超微( AMD )的SVM/Pacifica虛擬化技術建立一名為「藍色小丸子」( Blue Pill )的惡意程式原型，該程式號稱可以百分之百躲過所有軟體的偵測，即使在以安全功能著稱的微軟Vista x64系統中也可暢行無阻。

Joanna Rutkowska表示，這個惡意程式的概念採用AMD的SVM/Pacifica虛擬化技術架構一超級薄的虛擬機器管理程式（hypervisor），以取得作業系統的全部控制權。Joanna Rutkowska計畫在7月21日於新加坡舉辦的SyScan會議以及8月3日在拉斯維加斯舉辦的黑帽會議中討論此概念，並當場展示。微軟預計也在黑帽會議舉行的同一天展示Windows Vista 的關鍵安全功能。


在Joanna Rutkowska的簡報中將展示如何在Vista Beta 2版本沒有任何漏洞的情況下，以極為一般的方式將任意碼植入Vista作業系統的軟體核心（x64版本）中。而這個方法也可以輕易避開Windows Vista中必須要有來自核心模式軟體的數位簽名才可以載入x64-based系統的anti- rootkit 政策修正。


Rutkowska在自己的部落格上表示，Blue Pill的優勢來自於虛擬機器技術，除非有同樣以虛擬機器技術寫成的偵測軟體出現，或是Pacifica技術本身有漏洞，否則Blue Pill被偵測到的機率幾乎微乎其微。換句話說，如果業界無法儘速發展可偵測虛擬機器的技術，Blue Pill將永遠無法被偵測到。


由於Blue Pill是透過虛擬機器控制器取得作業系統中的控制權。目前Blue Pill已可在Windows Vista系統中被成功植入，意謂該程式也可被植入於Linux或BSD等任何可執行x64平台的作業系統。

http://www.isecutech.com.tw/news/view.asp?nid=2705