1 / 19

SubVirt: Implementing malware with virtual machines

SubVirt: Implementing malware with virtual machines. Samuel T. King Peter M. Chen University of Michigan. Yi-Min Wang Chad Verbowski Helen J. Wang Jacob R. Lorch Microsoft Research. Atacantes. Sistemas de defesa. Motivação. Atacantes e sistemas de defesa lutam por controle

locke
Download Presentation

SubVirt: Implementing malware with virtual machines

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SubVirt: Implementing malware with virtual machines Samuel T. King Peter M. Chen University of Michigan Yi-Min Wang Chad Verbowski Helen J. Wang Jacob R. Lorch Microsoft Research

  2. Atacantes Sistemas de defesa Motivação • Atacantes e sistemas de defesa lutam por controle • Atacantes monitoram e perturbam a execução do sistema • Para evitar a detecção por parte dos sistemas de defesa • Sistemas de defesa detectam e removem o atacante • Controle das camadas mais baixas App1 App2 Sistema operacional Hardware

  3. Virtual-machine based rootkits (VMBRs) • VMM roda abaixo do sistema operacional • Efetivamente um novo nível de privilégio do processador • Fundamentalmente mais controle • Sem estados ou eventos visíveis • Fácil desenvolver serviços maliciosos

  4. Sistema de ataque App1 App2 Sistema alvo VMM Hardware Após a infecção Virtual-machine based rootkits (VMBRs) App1 App2 Sistema alvo Hardware Antes da infecção

  5. Resumo do Trabalho • Instalar o VMBR • Manter o controle • Rodar serviços maliciosos • Defesa contra VMBR • Implementação de prova de conceito Perspectiva do atacante Perspectiva do sistema de defesa

  6. Instalação do VMBR • Assume que o atacante possui privilégio de kernel • Exploit remoto tradicional • Subornar empregado • CD-Rom bootável malicioso • Instalação durante o shutdown • Poucos processos rodando • Esforços para evitar detecção da atividade de instalação do VMBR

  7. Master boot record Boot sector OS Instalação do VMBR • Modificação da sequência de boot BIOS

  8. Master boot record Boot sector BIOS OS Instalação do VMBR • Modificação da sequência de boot VMBR loads BIOS

  9. Master boot record Boot sector OS Manutenção do Controle • VMBR perde controle em caso de reset do hardware • Ilusão de reset para não perder o controle • Reboot fácil, shutdown difícil VMBR loads BIOS BIOS

  10. Manutenção do Controle • ACPI BIOS usada para entrar em modo low power • Desliga os discos • Coloca monitor em modo low power • Altera LED power • Ilusão de desligamento, emulação de shutdown • Controle sobre o botão power • Funcionalidade do sistema não modificada

  11. Serviços Maliciosos • Vantagens de dois lados (alto nível e baixo nível) • Prover implementação de baixo nível • Ainda assim torna fácil a implementação de serviços • Uso de um attack OS em separado App App1 App2 Attack OS Target OS VMM Hardware

  12. Serviços Malicisos • Serviços com interação zero • phishing web server • Monitoramento passivo • keystroke logger, file system scanner • Modificação ativas da execução • Evitar técnicas de detecção de VMM • Todos fáceis de implementar

  13. Defesa contra VMBRs • Detecção de VMBRs • Perturbações geradas • Onde rodar o software de detecção

  14. Perturbações geradas pelo VMBR Díficil de esconder • Inerentes • Tempo de execução • Espaço ocupado pelo VMBR • Hardware • Diferenças entre dispositivos • Processador não completamente virtualizado • Software • Ícone da VM • Nomes dos dispositivos Fácil de esconder

  15. Sistemas de defesa(rodando acima do VMBR) • Estado do atacante não é visível • Só pode detectar efeitos adversos (ex. timing) • VMBR pode manipular a execução • Relógio controlado pelo VMBR • Evitar a execução de serviços de defesa • Desligar a rede • Desabilitar notificação de intrusão

  16. Sistemas de defesa(rodando abaixo do VMBR) • Mais controle, acesso direto aos recursos • Pode detectar estados ou eventos do VMBR • VMM segura e/ou hardware seguro • Boot de uma mídia segura • Desplugar máquina da energia elétrica

  17. Prova de conceito • VMware / Linux host • Virtual PC / Windows XP host • OS atacante é o sistema hospedeiro • Imagem do malware de ~100MB (comprimida) • ISA não completamente virtualizada • Evitar degradação de desempenho • Dispositivos emulados por software • Sistema hospedeiro possui muitos drivers

  18. Prova de Conceito • Quatro serviços maliciosos implementados • Phishing web server • Keystroke logger + password parser • File system scanner • Contramedida a sistema de detecção • Scripts de instalação and modules do kernel • Emulação de ACPI shutdown • Sleep states e botão power

  19. Conclusão • Ameaça realista • Quantitativamente mais controle • Ainda assim fácil de implementar o malware • Prova de conceito pode ser detectada • Melhorias de hardware podem tornar VMBR mais efetiva • Defesa é possível • Melhor maneira é controlar camadas mais baixas

More Related