A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

SubVirt: Implementing malware with virtual machines Yi-Min Wang Chad Verbowski Helen J. Wang Jacob R. Lorch Microsoft Research Samuel T. King Peter M.

PublicouPaulo Texeira Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "SubVirt: Implementing malware with virtual machines Yi-Min Wang Chad Verbowski Helen J. Wang Jacob R. Lorch Microsoft Research Samuel T. King Peter M."— Transcrição da apresentação:

1 SubVirt: Implementing malware with virtual machines Yi-Min Wang Chad Verbowski Helen J. Wang Jacob R. Lorch Microsoft Research Samuel T. King Peter M. Chen University of Michigan

2 Motivação Atacantes e sistemas de defesa lutam por controle – Atacantes monitoram e perturbam a execução do sistema Para evitar a detecção por parte dos sistemas de defesa – Sistemas de defesa detectam e removem o atacante – Controle das camadas mais baixas Hardware Sistema operacional App1App2 AtacantesSistemas de defesa

3 VMM roda abaixo do sistema operacional – Efetivamente um novo nível de privilégio do processador Fundamentalmente mais controle Sem estados ou eventos visíveis Fácil desenvolver serviços maliciosos Virtual-machine based rootkits (VMBRs)

4 Hardware Sistema alvo App1App2 Antes da infecção Hardware Sistema alvo App1App2 VMM Sistema de ataque Após a infecção

5 Resumo do Trabalho Instalar o VMBR Manter o controle Rodar serviços maliciosos Defesa contra VMBR Implementação de prova de conceito Perspectiva do atacante Perspectiva do sistema de defesa

6 Instalação do VMBR Assume que o atacante possui privilégio de kernel – Exploit remoto tradicional – Subornar empregado – CD-Rom bootável malicioso Instalação durante o shutdown – Poucos processos rodando – Esforços para evitar detecção da atividade de instalação do VMBR

7 Instalação do VMBR Modificação da sequência de boot BIOS Master boot record Boot sector OS

8 Instalação do VMBR Modificação da sequência de boot BIOS Master boot record Boot sector OS VMBR loads

9 Manutenção do Controle VMBR perde controle em caso de reset do hardware – Ilusão de reset para não perder o controle – Reboot fácil, shutdown difícil BIOS Master boot record Boot sector OS VMBR loads

10 Manutenção do Controle ACPI BIOS usada para entrar em modo low power – Desliga os discos – Coloca monitor em modo low power – Altera LED power Ilusão de desligamento, emulação de shutdown Controle sobre o botão power Funcionalidade do sistema não modificada

11 Serviços Maliciosos Vantagens de dois lados (alto nível e baixo nível) – Prover implementação de baixo nível – Ainda assim torna fácil a implementação de serviços Uso de um attack OS em separado Hardware Target OS App1App2 VMM Attack OS App

12 Serviços Malicisos Serviços com interação zero – phishing web server Monitoramento passivo – keystroke logger, file system scanner Modificação ativas da execução – Evitar técnicas de detecção de VMM Todos fáceis de implementar

13 Defesa contra VMBRs Detecção de VMBRs – Perturbações geradas Onde rodar o software de detecção

14 Perturbações geradas pelo VMBR Inerentes – Tempo de execução – Espaço ocupado pelo VMBR Hardware – Diferenças entre dispositivos – Processador não completamente virtualizado Software – Ícone da VM – Nomes dos dispositivos Fácil de esconder Díficil de esconder

15 Sistemas de defesa (rodando acima do VMBR) Estado do atacante não é visível – Só pode detectar efeitos adversos (ex. timing) VMBR pode manipular a execução – Relógio controlado pelo VMBR – Evitar a execução de serviços de defesa – Desligar a rede – Desabilitar notificação de intrusão

16 Mais controle, acesso direto aos recursos – Pode detectar estados ou eventos do VMBR VMM segura e/ou hardware seguro Boot de uma mídia segura – Desplugar máquina da energia elétrica Sistemas de defesa (rodando abaixo do VMBR)

17 Prova de conceito VMware / Linux host Virtual PC / Windows XP host OS atacante é o sistema hospedeiro Imagem do malware de ~100MB (comprimida) ISA não completamente virtualizada – Evitar degradação de desempenho Dispositivos emulados por software – Sistema hospedeiro possui muitos drivers

18 Prova de Conceito Quatro serviços maliciosos implementados – Phishing web server – Keystroke logger + password parser – File system scanner – Contramedida a sistema de detecção Scripts de instalação and modules do kernel Emulação de ACPI shutdown – Sleep states e botão power

19 Conclusão Ameaça realista – Quantitativamente mais controle – Ainda assim fácil de implementar o malware – Prova de conceito pode ser detectada – Melhorias de hardware podem tornar VMBR mais efetiva Defesa é possível – Melhor maneira é controlar camadas mais baixas

Carregar ppt "SubVirt: Implementing malware with virtual machines Yi-Min Wang Chad Verbowski Helen J. Wang Jacob R. Lorch Microsoft Research Samuel T. King Peter M."

Apresentações semelhantes

Informática aplicada à contabilidade

Informática aplicada à contabilidade
Virtualização de serviços

Virtualização de serviços
Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS

Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS
Virtualização André Bernardes RA: César Kallas RA:

Virtualização André Bernardes RA: César Kallas RA:
Tópicos I – Prof. Eduardo Zagari Virtualização André Bernardes RA: 01000000 César Kallas RA: 02099224 Eduardo Stuchi RA: 01000000 Rafael Curi RA: 02135473.

Tópicos I – Prof. Eduardo Zagari Virtualização André Bernardes RA: César Kallas RA: Eduardo Stuchi RA: Rafael Curi RA:
Tópicos I – Prof. Eduardo Zagari Virtualização André Bernardes RA: 01000000 César Kallas RA: 02099224 Eduardo Stuchi RA: 01003144 Rafael Curi RA: 02135473.

Tópicos I – Prof. Eduardo Zagari Virtualização André Bernardes RA: César Kallas RA: Eduardo Stuchi RA: Rafael Curi RA:
Pode ser uma máquina emulada ou uma máquina real na rede.

Pode ser uma máquina emulada ou uma máquina real na rede.
Sistemas Operacionais

Sistemas Operacionais
Virtualização de sistemas operacionais

Virtualização de sistemas operacionais
Virtualização de sistemas operacionais

Virtualização de sistemas operacionais
Curso Técnico de Informática

Curso Técnico de Informática
Sistemas Operacionais de Rede Professor: João Paulo de Brito Gonçalves

Sistemas Operacionais de Rede Professor: João Paulo de Brito Gonçalves
Carlos Maziero PPGIA CCET PUCPR

Carlos Maziero PPGIA CCET PUCPR
Virtualização de Máquinas

Virtualização de Máquinas
Introdução à Informática

Introdução à Informática
Ataques a Sistemas Operacionais

Ataques a Sistemas Operacionais
Device Drivers no Windows e Linux Visão Geral e Boas Práticas

Device Drivers no Windows e Linux Visão Geral e Boas Práticas
SEGURANÇA A NÍVEL DE APLICAÇÃO

SEGURANÇA A NÍVEL DE APLICAÇÃO
Virtualização..

Virtualização..
Sistemas Operacionais

Sistemas Operacionais

Apresentações semelhantes

Anúncios Google