Píldora azul (software)

Prueba de concepto de rootkit basado en máquina virtual

Blue Pill es el nombre en clave de un rootkit basado en la virtualización x86 . Originalmente, Blue Pill requería compatibilidad con la virtualización AMD-V (Pacifica), pero luego fue adaptado para que también admitiera Intel VT-x (Vanderpool). Fue diseñado por Joanna Rutkowska y se demostró originalmente en Black Hat Briefings el 3 de agosto de 2006, con una implementación de referencia para el núcleo de Microsoft Windows Vista .

El nombre es una referencia al concepto de la píldora roja y la píldora azul de la película Matrix de 1999 .

Descripción general

El concepto de Blue Pill consiste en atrapar una instancia en ejecución del sistema operativo iniciando un hipervisor delgado y virtualizando el resto de la máquina bajo él. El sistema operativo anterior seguiría manteniendo sus referencias existentes a todos los dispositivos y archivos, pero casi cualquier cosa, incluidas las interrupciones de hardware, las solicitudes de datos e incluso la hora del sistema, podría ser interceptada (y enviar una respuesta falsa) por el hipervisor. El concepto original de Blue Pill fue publicado por otro investigador en IEEE Oakland en mayo de 2006, bajo el nombre de VMBR (virtual-machine based rootkit). ^[1]

Rutkowska afirma que, dado que cualquier programa de detección podría ser engañado por el hipervisor, un sistema de este tipo podría ser "100% indetectable". Dado que la virtualización de AMD es transparente por diseño, se supone que un invitado virtualizado no puede consultar si es un invitado o no. Por lo tanto, la única forma en que Blue Pill podría ser detectado es si la implementación de virtualización no estuviera funcionando como se especifica. ^[2]

Esta afirmación, repetida en numerosos artículos de prensa, ha sido cuestionada: AMD emitió un comunicado en el que desestimó la afirmación de que era totalmente indetectable. ^[3] Otros investigadores de seguridad y periodistas también descartaron el concepto por considerarlo inverosímil. ^[4] La virtualización podría detectarse mediante un ataque de sincronización que dependiera de fuentes externas de tiempo. ^[5]

En 2007, un grupo de investigadores desafió a Rutkowska a que utilizara Blue Pill como prueba de su software detector de rootkits en la conferencia Black Hat de ese año, ^[6] pero el acuerdo se consideró imposible después de que Rutkowska solicitara 384.000 dólares en financiación como requisito previo para participar en la competición. ^[7] Rutkowska y Alexander Tereshkin contrarrestaron las afirmaciones de los detractores durante un discurso posterior en Black Hat, argumentando que los métodos de detección propuestos eran inexactos. ^[8]

El código fuente de Blue Pill ya se ha hecho público ^{[9] [10]} bajo la siguiente licencia: Cualquier uso no autorizado (incluida la publicación y distribución) de este software requiere una licencia válida del titular de los derechos de autor. Este software se ha proporcionado únicamente para uso educativo durante la capacitación y la conferencia de Black Hat. ^[11]

Píldora roja

Red Pill es una técnica para detectar la presencia de una máquina virtual también desarrollada por Joanna Rutkowska . ^[12]

Referencias

1. King, ST; Chen, PM (2006). "SubVirt: implementación de malware con máquinas virtuales". Simposio IEEE sobre seguridad y privacidad de 2006 (S&P'06) . pp. 14 pp. doi :10.1109/SP.2006.38. ISBN 0-7695-2574-1. Número de identificación del sujeto  1349303.
2. El prototipo de la "píldora azul" crea un malware 100% indetectable ^{[ enlace muerto permanente ]} , Ryan Naraine, eWeek.com
3. Cara a cara: AMD vs. Joanna Rutkowska Archivado el 4 de mayo de 2008 en Wayback Machine , eWeek.com
4. Desacreditando el mito de la píldora azul Archivado el 14 de febrero de 2010 en Wayback Machine , virtualization.info
5. "- Enfrentamiento en el Blue Pill Corral - Vigilancia de seguridad de eWeek". Archivado desde el original el 2012-02-06 . Consultado el 2007-08-20 .
6. Rutkowska se enfrenta al desafío de ser un malware 100% indetectable, Ryan Naraine en zdnet.com
7. Naraine, Ryan (2007-06-29). "Blue Pill hacker challenge update: It's a no-go" (Actualización del desafío de hackers Blue Pill: no se puede). ZDNet . ZDNet. Archivado desde el original el 2009-11-26 . Consultado el 2016-01-24 . Rutkowska [...] quiere que a su equipo de dos personas se le pague 384.000 dólares (200 dólares por hora cada uno para dos personas que trabajen a tiempo completo durante seis meses) [...] Thomas Ptacek de Matasano, un miembro del equipo del desafío, ofrece esta respuesta acertada: "¿Por qué le pagaríamos 384.000 dólares para comprar un rootkit que ya sabemos que podemos detectar?"
8. Enfrentamiento en el Blue Pill Corral
9. Píldora azul 2007 Archivado el 5 de octubre de 2009 en Wayback Machine.
10. Píldora azul 2008 Archivado el 13 de septiembre de 2011 en Wayback Machine.
11. "bluepillproject.org". 18 de abril de 2008. Archivado desde el original el 18 de abril de 2008. Consultado el 3 de septiembre de 2017 .{{cite web}}: CS1 maint: bot: estado de URL original desconocido ( enlace )
12. "Blog | Las cosas invisibles". Archivado desde el original el 2007-09-11 . Consultado el 2007-09-11 .

Enlaces externos

• Presentando la píldora azul por Joanna Rutkowska
• InternetNews - Blackhat critica a Vista
• Cómo defenderse de los piratas informáticos - Business Week , 10 de agosto de 2006
• Entrenador Greg Adams
• Píldora azul, episodio 54 del podcast Security Now
• Presentación de Black Hat 2006
• Código fuente 2008
• Detección y bloqueo de la píldora azul, vitriolo, etc.