検知できないRootKit「Blue Pill」
従来のRootKitは、コマンドを置き換えたり、カーネルのAPIやシステムコールを置き換えるなどの手法なので、
完全に身を隠すことができず、検出されるものがほとんどでした。
(偽装していても、所詮はOSで稼働しているプロセスなので。)
ところが、「Blue Pill」はCPUの仮想化技術を利用し、ホストOSとして振る舞い、それまでOSとして動いていた環境をゲストOSとして取り込むというアプローチを取っています。
これにより、OS上からは絶対に検知できないRootKitが設置可能になるらしいです。
(らしいと書いたのは、「Blue Pill」の発表資料を全て読んでいないので、理解していない部分が多くあり・・・。)
「Blue Pill」発表資料
Blue Pill - creating undetectable malware on x64 using Pacifica technology
「Blue Pill」は、Joanna Rutkowska氏により研究されています。
現状は、AMD SVM(Pacifica)を用いた実装になっていますが、Intel VT-xを利用した実装も検討中らしいです。
「ホストOSを乗っ取る」って、どうやるんでしょうか?
とりあえず、発表資料を全て読んでみようと思います。(英語なので時間かかりそうです。)
Blog | The Invisible Things
Joanna Rutkowska - Wikipedia
Vistaを脅かす100%検出不可能なマルウェア「Blue Pill」 - ITmedia NEWS