BluePill, la pillola blu, continua
TH: Proviamo a chiarire: se io sto usando una macchina virtuale legittima e ho accesso a tutti gli strumenti del caso, mi stai dicendo che non ho modo di sapere che il gestore della macchina virtuale, l'hypervisor, è stato compromesso da BluePill? Posso usare lo strumento per individuare la virtualizzazione, ma mi dirà solo quello che già so, cioè che è attiva un macchina virtuale?
Joanna: sì, individuare la virtualizzazione e capire se una macchina virtuale è compromessa sono due cose diverse.
TH: Quindi l'unica ragione per cui le strategie di individuazione funzionano è il fatto che, in teoria, nel mio sistema non ci dovrebbero essere macchine virtuali attive, quindi se ne viene rilevata una, posso supporre che ci sia un problema, giusto?
Joanna: In teoria puoi investire del tempo per creare le istruzioni necessarie per le misurazioni anche in caso siano presenti macchine virtuali a nido, per scoprire se ce n'è una che non dovrebbe esserci. Lo abbiamo mostrato al Black Hat l'anno scorso, aggiungendo BluePill all'hypervisor Xen. Ma è un approccio molto rischioso e complesso, che dipende molto dall'implementazione dell'hypervisor (quello legittimo). Bisogna esserne ben consapevoli di tutti i parametri per riuscire a "separare i segnali dal rumore", e trovare quello che stiamo cercando. Credo che un approccio simile per risolvere il problema del malware simile a BluePill, anche se si presta bene alla speculazione, sarebbe un vicolo cieco. Non credo che vedremo circolare malware come BluePill nei prossimi tempi, ma solo perché il malware "vecchio stile", che colpisce a livello kernel funziona ancora alla grande. L'industria degli antivirus è un disastro per quanto riguarda l'individuazione e le prevenzione contro questo tipo di minaccia. Quindi chi sviluppa malware ha pochi incentivi a fare un nuovo passo evolutivo verso tecnologie più complesse. Naturalmente noi ricercatori non aspettiamo che i cattivi facciano la prossima possa, e stiamo già pensando a come evitare che questo malware, ancora potenziale, possa arrivare a diffondersi. Una possibile soluzione è la tecnologia Intel TXT (Trusted Execution), anche se in verità siamo già riusciti ad aggirarla qualche mese fa, in occasione del Black Hat DC.