Vistaを脅かす100%検出不可能なマルウェア「Blue Pill」

rootkitに詳しいセキュリティ研究者が、Windows Vista x64システム上でも「100%検出不能な」マルウェアについてコメントした。新技術を応用してマルウェアを作成可能とする実動プロトタイプ開発についてだ。

» 2006年06月29日 16時34分 公開
[Ryan Naraine,eWEEK]
eWEEK

 シンガポールに本社を置くITセキュリティ企業、COSEINCでステルス型マルウェアを研究するジョアンナ・ルトコウスカ氏によると、この新しいコンセプト「Blue Pill」は、AMDの仮想化技術「SVM/Pacifica」を利用して超軽量型のハイパーバイザーを作成するものであり、これによって下層にあるOSを完全に支配するという。

 ルトコウスカ氏は、7月21日にシンガポールで開催される「SyScan Conference」および、8月3日にラスベガスで開催される「Black Hat Briefings」において、このアイデアを紹介するとともに、Vista x64用の実動プロトタイプのデモを行う予定だ。

 Black Hat Briefingsでの同氏のプレゼンテーションと同じ日には、MicrosoftがVistaに搭載される主要なセキュリティ機能の一部を披露する予定である。

 ルトコウスカ氏によると、プレゼンテーションでは、実装上のバグに頼ることなくVistaのβ2カーネル(x64エディション)に任意のコードを挿入する「一般的手法」についての説明だという。

 同氏の手法は、Windows Vistaで導入されるrootkit対策ポリシーの重要な変更を効果的に回避するというもの。Windows Vistaの新ポリシーでは、カーネルモードで動作するソフトウェアがx64ベースのシステムにロードするためには、デジタル署名が付加されていなければならない。仮想マシン(VM)をベースとしたrootkitというアイデア自体は、必ずしも新しいものではない。

 Microsoft Researchとミシガン大学の研究者たちは、VMベースのrootkitを開発した。このrootkitは「SubVirt」と呼ばれ、ターゲットシステム上で動作するセキュリティソフトウェアはその状態にアクセスできないため、これを検出するのは不可能に近い。

 この手法をさらに進化させたルトコウスカ氏は、「Blue Pillが検出される可能性があるとすれば、それはAMDのPacifica技術に欠陥がある場合だけだ」と主張する。

 「Blue Pillの強みはSVM技術に基づくものだ」と、ルトコウスカ氏は自身のブログ「Invisible Things」に記している。仮想マシン技術用の一般的検出手法を開発することができれば、Blue Pillを検出できるかもしれないが、それは同時に、Pacificaにバグがあることを意味するという。

 「一方、SVMベースの仮想マシンに対応した一般的検出手法を編み出すことができなければ、Blue Pillを検出することができないということだ」と同氏は付け加える。

 「Blue Pillの根底にある考え方は単純だ。OSがBlue Pillを飲み込むと、超軽量型のBlue Pillハイパーバイザーによって支配されたマトリックス(母体)の中で目覚めるのだ。この一連の処理は瞬時に行われ(システムを再起動する必要はない)、パフォーマンスが低下したり、デバイスが使えなくなったりすることもない」と同氏は説明する。

 ルトコウスカ氏は、Blue Pill技術は基盤となるOSのバグに依存しないことを強調している。「Vista x64用の実動プロトタイプを実装したが、x64プラットフォーム上で動作可能なLinuxやBSDなどのOSに、これを移植できない理由は見当たらない」と同氏は述べている。

 Blue PillはCOSEINCでの研究用として開発中であり、ダウンロードを通じて提供されることはない。しかしルトコウスカ氏によると、同社はBlue Pillをはじめとする技術に関するトレーニングコースを設ける計画であり、その際にソースコードが提供される可能性もあるとしている。

 ルトコウスカ氏は以前、「Red Pill」の開発に携わっていた。Red Pillは、VMM(仮想マシンモニタ)あるいは実環境内でコードが実行中であるかどうかを検出することができる。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ