블루 필(소프트웨어)

Blue Pill (software)

Blue Fil은 x86 가상화를 기반으로 하는 루트킷의 코드 이름이다.Blue Phil은 원래 AMD-V(Pacifica) 가상화 지원이 필요했지만 나중에 Intel VT-x(Vanderpool)도 지원하도록 포팅되었다.조안나 러트코프스카에 의해 설계되었으며, 원래 2006년 8월 3일 블랙 브리핑스에서 마이크로소프트 윈도 비스타 커널에 대한 참조 구현과 함께 시연되었다.

이 이름은 1999년 영화 '매트릭스'의 빨간색 알약과 파란색 알약 개념을 지칭하는 것이다.

개요

Blue Phil 개념은 씬 하이퍼바이저를 시작하고 그 아래 나머지 시스템을 가상화하여 운영 체제의 실행 중인 인스턴스를 트랩하는 것이다.이전 운영 체제는 여전히 모든 장치와 파일에 대한 기존 참조를 유지하지만, 하드웨어 인터럽트, 데이터 요청, 심지어 시스템 시간까지 하이퍼바이저에 의해 차단(및 전송된 가짜 응답)될 수 있다.블루 필의 원래 개념은 2006년 5월 IEEE Oakland의 다른 연구원이 VMBR(가상 머신 기반 루트킷)이라는 이름으로 발표하였다.[1]

러트코프스카는 어떤 탐지 프로그램이라도 하이퍼바이저에 속아 넘어갈 수 있기 때문에 그러한 시스템은 "100% 탐지 불가"가 될 수 있다고 주장한다.AMD 가상화는 설계상 원활하므로 가상화된 게스트는 게스트인지 여부를 쿼리할 수 없도록 되어 있다.따라서 Blue Phil을 탐지할 수 있는 유일한 방법은 가상화 구현이 지정된 대로 작동하지 않는 경우입니다.[2]

수많은 언론 기사에서 반복된 이러한 평가는 논쟁의 여지가 있다: AMD는 완전한 탐지 불가능에 대한 주장을 일축하는 성명을 발표했다.[3]일부 다른 보안 연구자들과 언론인들 또한 이 개념을 믿을 수 없는 것이라고 일축했다.[4]가상화는 외부 시간 소스에 의존하는 타이밍 공격에 의해 감지될 수 있다.[5]

2007년 한 연구진이 그해 블랙하트 회의에서 루트킷 검출기 소프트웨어에 블루필을 붙이도록 러트코프스카에 도전했으나,[6] 대회 출전을 위한 전제조건으로 38만4000달러의 자금지원을 요청한 러트코프스카의 요구에 따라 거래 불가로 간주됐다.[7]러트코프스카와 알렉산더 테레슈킨은 이후 블랙햇 연설에서 제안된 탐지 방법이 부정확하다고 주장하며 디플렉터들의 주장을 반박했다.[8]

블루 필의 소스 코드는 이후 다음과 같은 라이센스에 따라 공개되었다.[9][10]이 소프트웨어의 무단 사용(출판 및 배포 포함)은 저작권 소유자로부터 유효한 라이센스를 필요로 한다. 이 소프트웨어는 블랙햇 훈련과 컨퍼런스 동안만 교육용으로 제공되었다.[11]

빨간약

레드 필은 조안나 러트코프스카도 개발한 가상 머신의 존재를 감지하는 기술이다.[12]

참조

  1. ^ King, S. T.; Chen, P. M. (2006). "SubVirt: implementing malware with virtual machines". 2006 IEEE Symposium on Security and Privacy (S&P'06). pp. 14 pp. doi:10.1109/SP.2006.38. ISBN 0-7695-2574-1.
  2. ^ '블루 필' 프로토타입으로 100% 탐지 불가능한 멀웨어를 만들어 내는 Ryan Naraine, eWeek.com
  3. ^ Faceoff: AMD 대 Joanna Rutkowska 2008-05-04년 Wayback Machine, eWeek.com
  4. ^ Debunking Blue Phil Myth, virtualization.info
  5. ^ https://archive.today/20120206042114/http://securitywatch.eweek.com/showdown_at_the_blue_pill_corral.html. Archived from the original on 2012-02-06. Retrieved 2007-08-20. {{cite web}}:누락 또는 비어 있음 title=(도움말)
  6. ^ Rutkowska는 '100% 탐지 불가능한 악성 프로그램' 도전에 직면해 있으며, Ryan Naraine은 2009년 9월 3일 Wayback Machine보관되어 있다.
  7. ^ Naraine, Ryan (2007-06-29). "Blue Pill hacker challenge update: It's a no-go". zdnet.com. ZDNet. Archived from the original on 2009-11-26. Retrieved 2016-01-24. Rutkowska [...] wants her two-person team to be paid $384,000 ($200/hr each for two people working full-time for six months) [...] Matasano’s Thomas Ptacek, a member of the challenge team, provides this apt response: 'Why would we pay you $384,000 to buy a rootkit we already know we can detect?'
  8. ^ 블루 필 코랄에서의 대결
  9. ^ 2009년 10월 5일 웨이백 기계보관블루2007
  10. ^ Blue Fil 2008, 2011년 9월 13일 웨이백 머신보관
  11. ^ "bluepillproject.org". 18 April 2008. Archived from the original on 18 April 2008. Retrieved 3 September 2017.{{cite web}}: CS1 maint : bot : 원본 URL 상태 미상(링크)
  12. ^ "Blog the Invisible Things". Archived from the original on 2007-09-11. Retrieved 2007-09-11.

외부 링크