Now, imagine a malware (e.g. a network backdoor, keylogger, etc...) whose capabilities to remain undetectable do not rely on obscurity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept. Malware, which could not be detected even though its algorithm (concept) is publicly known. Let's go furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and imagine that even its code could be made public, but still cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re would be no way for detecting that this creature is running on our machines...
Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few months I have been working on a technology code-named Blue Pill, which is just about that - creating 100% undetectable malware, which is not based on an obscure concept.
The idea behind Blue Pill is simple: your operating system swallows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blue Pill and it awakes inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix controlled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultra thin Blue Pill hypervisor. This all happens on-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-fly (i.e. without restarting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no performance penalty and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devices, like graphics card, are fully accessible to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system, which is now executing inside virtual machine. This is all possible thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest virtualization technology from AMD called SVM/Pacifica.How does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blue Pill-based malware relates to SubVirt rootkit, presented a few months ago by Microsoft Research and University of Michigan? Well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are couple of important differences:
- SubVirt is a permanent (i.e. restart surviving) rootkit. And it has to be, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SubVirt's installation process requires that it takes control before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original operating system boots. Consequently, in contrast to Blue Pill, SubVirt can not be installed 'on-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-fly'. It also means that SubVirt must introduce some modifications to hard disk, which allows for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'off line' detection.
- SubVirt was implemented on x86 hardware, which doesn't allow to achieve 100% virtualization, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are number of sensitive instructions, which are not privileged, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 famous SIDT/SGDT/SLDT. This allows for trivial detection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual mode - see e.g. my little Red Pill program. This however, doesn't apply to Blue Pill, as it relies on AMD SVM technology.
- SubVirt is based on one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commercial VMM: Virtual PC and/or VMWare. Both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se applications create virtual devices to be used by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system, which are different from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real underlying hardware (e.g. network cards, graphic cards, etc.), which allows for easy detection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual machine.
I would like to make it clear, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blue Pill technology does not rely on any bug of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying operating system. I have implemented a working prototype for Vista x64, but I see no reasons why it should not be possible to port it to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r operating systems, like Linux or BSD which can be run on x64 platform.
I will be talking about Blue Pill and demonstrating a working prototype for Vista x64 at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of July at SyScan Conference in Singapore.
Also, I will present a generic method (i.e. not relaying on any implementation bug) of how to insert arbitrary code into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vista Beta 2 kernel (x64 edition), thus effectively bypassing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 (in)famous Vista policy for allowing only digitally singed code to be loaded into kernel. Of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presented attack does not require system reboot.
103 comments:
So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix is real after all just as i thought, sounds very interesting, i'm looking forward to hearing much more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blue Pill etc. See you in Singapore, haha i Wish !
Regards
Spanner
Hi,
will your "blue pill" code be available for download? Even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept in itself is very impressive, I'm still not convinced on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "undetectable" aspect of it. Also, I saw no comment on how it is able to, with user privileges and no exploitation whatsoever, put itself between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS. Too bad I can't make it to singapore...
I'll look furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SVM/Pacifica documentation, anyway ;)
Thanks
No, blue pill is not going to be available for download - it has been developed exclusively for COSEINC Research. However, we (COSEINC) are planning to organize trainings about blue pill (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cool technologies) which would give an opportunity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attendees to experiment with blue pill and see it's source code :) More details will be posted at coseinc.com in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 near future...
Also, please note, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strength of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blue pill is based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SVM technology - so, if you could write a generic 'red pill' for SVM, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it would mean that you could detect blue pill (and that Pacifica is buggy). On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand - if you would not be able to come up with a general detection technique for SVM based virtual machine, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you should assume, that you would also not be able to detect blue pill...
cheers,
joanna.
Hello,
Does blue pill allow virtualization of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems? "Undetectable" means "yes" probably. So what does it do to allow it?
I've read only parts of svm manual, but it seems that some areas of that system are not able to handle recursive virtualization (like nested paging, though I'm not sure about it...). If that's true - blue pill can still emulate it, but it will create delays that can be measured == detected.
Can you tell if / how virtualization of anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system is possible after applying blue pill?
When will papers on blue pill be available?
PS. Dzięki za rozmowę na CONFidence :)
papers about blue pill (and more details) will be availabe after SyScan and Black Hat USA conferences...
joanna.
Hello.. is this blue pill is researched for a good or bad usage?
I'm afraid many undetectable thing could be used for any bad thing such as virus or else..
Thanks anyway..
I personally think that this is just anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attack victor previously un thought of. So it's quite ground breaking. But it come as a result of poor designs at multiple levels. From software to hardware. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old days of computers. people learned to load before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS by targetting boot loaders, partition tables ...etc later all of those were detected. some did wierd things cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bios and almost anywhere cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can store and excute code
I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of a Redpill that would actually be a low level app that would interact directly with SVM could eventually be part of any malware removal kit. It would be even easier for someone to write a "Pill-Proof" pill that would detect attempts to execute a bluepill and stop it.
One thing is certain, things will continue to escalate.
Amazing ideas/research. This and your ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r work reminded me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part of CS that I had forgotten all about in school.
Heh, almost enough to make me think about changing jobs too :-/
Hi,
Very impressive!
Can you give any hint on how
you inject code into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel
with no sploit?
U sure it cannot be blocked?
Thanks
I did not write it can not be blocked - I only stated it's a 'generic' attack, by which I mean that it does not rely on any implementation bug (like buffer overflow), but just exploits some design flaw. Surly it can be blocked and I will even discuss three approaches of how this could be done. It's just that each of those solutions (which I'm aware of) seem to introduce some 'penalty' to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r functionality or performance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system.
To get more details you have to... eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r come to SyScan or Black Hat ;)
Very interesting work! Even more as you went all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way through implementing it.
Reading about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two pills reminds me of an idea I carry around me for a while now...
In both pills you seem to exploit bugs (privilege escalation / information leakage) of a CPU model. And hey, CPUs do have bugs.
If I only see that intel is describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "int" or "ret" opcode behaviour in 8 pages of pseudocode each, I come to belief cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are exploitable bugs, too.
Ususally we only run opcodes on our CPUs which come in a well-formed and organized manner out of a compiler. Running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right combination may lead to surprises.
Some month ago I had started hacking on some code which should do "genetic programming" on a opcode-level. For doing so I had recycled parts of nasm's backend. It's not finished and probably will never be. But while targeting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 (genetic) search and solution for small but complex problems, I ran into thinking what might happen and how do I count cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exceptions my generated code raises in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS, and will it find bugs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS?
Then I also got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that running this kind of random opcodes is very similar to fuzzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CPU HW, and whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r I may find bugs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.
How likely is it that we find an "off-by-one" or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r exploitable bugs in HW? In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chipdesigners aren't putting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r millions of single transistors, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y write "c=b+a" and a,b,c are described by datatypes.
It is very likely.
thanks for presenting two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m!
mazzoo
PS: detection should always be possible through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page handler scanning for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evil opcode combination. For a while it won't even matter, *alloc is slow anyway ;)
It's very interesting what you wrote - but I need to make one clarification:
Blue Pill does *not* rely on any bug in Pacifica neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in OS. Blue Pill uses only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documented features of Pacifica.
Red Pill, in contrast, does rely on a 'bug' in x86 architecture, which in this case is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of a sensitive, but non-privileged instructions, like SIDT.
joanna.
I'll take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red pill, thank you very much.
Great stuff Joanna,
I look forward to read more technical details about and hopefully a simular thingie on INTEL.
Seems that Dino Dai Zovi presents a competitive work ("Hardware Virtualization-Based Rootkits") at BlackHat, but he exploits Intel VT :)
Maybe his work is sponsored by AMD and yours - by Intel? ;)
I am very impressed with your documentation and presentations on invisiblethings.org. I really appreciate your explainations and suggestions for how to counter some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se concepts like "Stealth by Design" and appreciate that have some ethics in code distribution.
Have you actually tried to find whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it's detectable by rigourously analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architecture? I understand you mainly just want to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, but still...While I know you found one instruction to exploit for your redpill, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USENIX paper you subsequently found knew about 17 instructions. This does not speak to a rigourousness in actually proving it's undetectability; just that if anyone else wants to try if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y succeed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n AMD loses, and if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y fail, you win (_possibly_, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir failure does not prove your success).
Have you tested whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r bluepill introduces enough skew as to be detectable via timing tests over time?
Does blue pill still load if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is booted in safe mode? (I assume/hope so but I don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact differences in how safe mode boots) What about if it's booted from a CD? If not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n methinks MS strider/ghostbuster detects it trivially.
Am I understanding correctly that this methodology is limited to 100% AMD Pacifica cores, and thus wouldn't be possible on Intel CPUs?
So whats cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intended point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research?
Surely this isn't a good thing and it's only a matter of time till some of your idea's filter doen and ensure that we have to sit through more spam, junk and malware on our systems.
Or am I missing something?
How would blue pill handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of an existing hypervisor? Does it nest or would it fail?
Also, once running, how would blue pill handle or affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attempt to load a hypervisor?
Would eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two cases act as a detection vector for blue pill?
Hi,
Seems that this concept's detection focus has been on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GuestOS which of course is limited in what it can see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware's Host environment. But are you saying that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware has limited or no self-monitoring/self-managing capabilities? It would seem to me that simple enumeration of running virtual environments and applying rules to such (like don't launch a new enumerated environment without warning under certain conditions) should address this type of "vulnerability."
There's only two ways of detecting a Blue Pill like this.
1) If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TSC (time stamp counter) cannot be tampered with, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extra cycles that blue pill is using. If it's not using any cycles, it's not a program.
2) If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's some portion of memory that can't be accessed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's something cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. The pill may be smart enough to hop around to unused parts of memory, but if all memory gets used, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nowhere to hop to. Swapping to disk is an idea, but where is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 swap code going to live? It has to use some memory somewhere, or again, it's not a program.
Your article needs an edit, it is specifically targeting AMD as if you are being paid by Intel.
Both have almost cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same type of implementation so this kind of targeting is unwarranted and gives wrong impression to a reader
Of course, if you just have an OS that doesn't allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insertion of such things, wouldn't that be better? But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n again, Windows, Linux and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 2 PL designed OS's will always have troubles.
I decided to implement Blue Pill on AMD64 processor and I spent my time on doing this. Unfortunately I'm only single-threaded, when it comes to programming, so I did not develop a code for Intel at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time. Indeed it *seems* possible to implement Blue Pill on Intel VT, but I haven't done this yet.
As to why I decided to choose AMD and not Intel - I followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alphabetic order ;)
Also, at Black Hat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r presentation, by Dino Dai Zovi, about VT based malware (undoubtedly sponsored by AMD):
http://blackhat.com/html/bh-usa-06/bh-usa-06-speakers.html#Zovi
But I don't know if (and how) Dino's work is similar to Blue Pill (e.g. if it works on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fly) or not. I'm looking forward to see it.
In reply to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r comments, I understand that AMD is targeted becuase it is not "vulnerable" to easy detection like on Intel. Simple as that.
What I want to know is why an OS could not simply run in a VM by design. That way, if a blue pill was swallowed, it would affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS itself. The VM cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS was running in could easily detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pill.
Is that a possible method, or does SVM provide a way to circumvent it?
Joanno, chcialbym zeby moja zona takie zainteresowania miala.
GOOD JOB !!!
If you would have a system infected by a blue pill, and this system runs about 3 virtual machines. would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blue pill instaciate a 4th machine? if so would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware be able to 'spy into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems?. I could imagine things like keyloggers, and maybe remote control type of applcations being run withing an undetectable virtual machine. If this is possible what would you harden cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel which allows virtualisation, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual intace of a virtual machine?
I am curious. If Vista had a structure like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IBM/MVS control blocks for storage and contents supervision would Blue Pill still be undetectable?
Well, any VMM is (should be) an ultimate undetectable root-kit. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMM is detectable, it is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r because of performance reasons, or because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMM writer is lazy.
However, if you already did have a VMM running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SVM machine, this insertion attempt by "blue pill" would not go undetected by SVM-enabled VMM. And no, you will not be able to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "red pill" to detect this VMM, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMM itself will be completely hidden from you as it uses SVM.
This claim of “blue pill” being something new or revolutionary is almost as ridiculous as someone saying, “I have created ultimate rootkit on DOS. It uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protected mode on x386 to insert itself underneath DOS, and runs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire DOS OS in a virtual address space”. The claim is ridiculous because, if you do not have a monitor that runs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest privilege level allowed on your machine, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you are painting a big bull’s eye on yourself, and just inviting someone to insert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir code underneath yours.
I would say, going forward, having a VMM is not a choice, but a requirement, and I think that's why Microsoft is working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own VMM. You just cannot leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest privilege level on your machine open for some hacker to hack.
One question that has not been answered -- are you doing this for good, or bad?
Shouldn't it be detectable if you already have everything running in a hypervisor that regularly checks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system for a "blue pill"?
The hypervisor stuff could incrementally check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire "guest" memory space or maybe just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 important system hooks, structures for tampering.
I'm not sure if a two CPU machine could have one CPU used to check a "guest" machine while it is running on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r CPU.
This probably isn't new. Hypervisor stuff is 1960s or earlier? So I'm sure someone had already thought of it even way before Microsoft mentioned it, or this particular implementation.
But anyway, its interesting enough that its getting more "mainstream", just not particularly surprising or remarkable - given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new VT/pacifica support.
Questions for Joanna:
1. How is GPU handled? Does Direct3D and OpenGL hardware acceleration still work when your pill is installed?
2. Why haven't you tested on Intel VT too?
3. What happens if I try to run say VMWare on top of your pill? Will it fail? If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer is yes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pill.
I already answered why I didn't test it on Intel. I also wrote in my blog that all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devices work natively - so not performance penalty! How is it done? - you will have to come to SyScan or Black Hat to find out ;) So as to find out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer for all ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r questions...
Quite interesting work, Johanna. As I look back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 days when I worked with DEC PDP-11s and VAXen, I am struck by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realization that CPU design hasn't progressed much in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interim. The same vunerabilities exist now as existed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n. It gets me to wondering, in your professional opinion, is it technically possible to design and implement a CPU architecture that would be free from even Blue Pill-type exploits? I.e., every instruction and sequence of instructions has known, safe behavior immune from exploit? Or is it that this falls into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of a "grand problem". (One wonders how immune cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supercomputers used to design nuclear weapons are to exploits...)
In your opinion, is virtualization technology like Pacifica inherently "unsafe" from exploit, or is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a way to implement virtualization to make it unexploitable? It would seem to me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept itself has issues with exploitability, as you have shown.
Continued good luck. Just stay away from my systems, please!
While blue-pill is applaudable in concept, I think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will always be architectural weaknesses which will allow this to be detected and removed.
First, unless your code is capable of hooking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BIOS (and fairly early, at that), your rootkit will be detectable on a reboot using currently implemented techniques.
Staying "within" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game, without additional chipset support, your virtualization would be easily revealed by a kernel level module which can program a DMA controller. I believe that most network chips can be used to sample each page of physical memory and verify that it's not remapped.
Fundamentally, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is communication with an external entity, you will not be able to hide timing deltas, even if your code properly adjusts TSC.
To some extent, this applies to interprocessor interrupts - virtualizing a single core is fairly well understood. Virtualizing multiple cores is probably not, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional latency introduced is likely to be obvious (one core in a, for example, CPUID loop, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sending non-stop interrupts and busy-waiting until a shared bit is set would reveal that CPUID is taking significantly longer than a non-trapped instruction like IMUL.
Even playing on a single core, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some cases which are very difficult to properly virtualize with virtual page table algorithms - consider self-modifying code executing out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page tables that map to that code. Making sure that this code is kept in-sync with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper changes from A&D bits is somewhat difficult. I'd like to see how you manage this.
Similarly, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complicated x86 architecture, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are various nested-interrupt conditions that are unlikely to be properly virtualized, at least not without significant code which would introduce bugs.
Hopefully you will be providing more details on how you dealt with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se techniques, or possibly updating red pill for some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m?
I am unaware of whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AMD implementation has this, but I seem to recall that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel implementation has a write-once kill bit that a BIOS implementation can set that will disable VT instructions.
Somehow I expect that most BIOSes will disable VT and it will require updating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BIOS to enable this feature on many mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rboards.
So it sounds like I'd want to install hypervisor on my personal pc before/as I install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 os, just to make sure I have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first one installed and I can police my own computer? It's a very interesting concept and I can only wonder what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eventual effects on personal and work PCs will be.
Joanna,
Kewl work! I'm sure you're saving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good stuff for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference, so I look forward to reading up afterwards.
I would be interested in hearing more about what happens when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is existing hypervisor, and what happens if you "take two blue pills."
Cheers
BC
Fantastic explanation and very interesting responses. Well done! I only have one question as it relates mostly to AMD technology: is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re (or will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re be) an applicable aspect to Intel technology as well? If I missed that being mentioned already, please forgive my question.
Any kind of hypervisor will be detectable using timing attacks. A loop of a few million VM privilaged instructions will always take substantially more time in a hypervisor environment. Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor virtualizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TSC, PMC and all ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hardware timers, to hide how long a privilaged instruction really takes to execute, such trickery can be easily detected by a user with a watch as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM's efforts to hide itself from software will cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual time to diverge from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real-world time.
Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, it's impossible for a hypervisor to completely hide its memory footprint. Reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of system memory is obviously detectable. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypervisor attempts to hide by keeping memory size cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same and swapping a few pages out to disk, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a timing attack will easily discover that some pages have an extremely high latency.
Finally, hypervisor malware has no special resiliance against detection by off-line methods such as a signature scanner booted from a livecd.
Since this AMD only, curious to know if you can tell us whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r this research has be financed directly or indirectly by Intel Coroporation?
I suggest you all read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commends. As Joanna has already stated and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have pointed out, as far as we know Intel VT is just as vunerable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blue pill (although obviously it would have to be programmed for Intel VT). Intel is not any safer in this regard. The reason Joanna choose Pacifica instead of VT sounds to be because that's what architecture she was working on.
Joanna,
I do not believe this or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r exploit could be undetectable to an experienced programmer who has a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit.
What would happen if you attempt to install blue pill on a system already compromised by blue pill. Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re code to avoid this situation? If so it could be used for detection. Does it install succesfully in a recursive VM? Then what would happen if it was installed 50 times?
As a general concept it could be undetectable as long as a specific exploit is unknown, however cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's ways to block this too.
What if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BIOS on all machines blocked Pacifica by default, and on attempting to install a legit VM a cold restart was requred during which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BIOS would show a warning about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dangers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology before giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 choice to enable it or not?
Overall your work sounds interesting (allthough it is evil) but I think your claims are overstated.
One question that has not been answered -- are you doing this for good, or bad?
Since this AMD only, curious to know if you can tell us whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r this research has be financed directly or indirectly by Intel Coroporation?
You people really are too suspicious. Anyway, it shouldn't matter if this is "for good or bad", it's just interesting.
Basically you simply make a stronger case that absolutely EVERY resource on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer (file, registry, etc...) must be managed. The management system must calculate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct end state for that specific node to be in, and make corrections to its as-found state to bring it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desired end-state.
Yes, as a duct tape solution, I suppose people can deal with jumping through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hoops of getting all software digitally signed... and of course THAT protection is only as good as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys. (And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys... "So is that copy of XP legit or not? Does MS even know!?") Do YOU trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys? I don't! I'll pick my own files - signed or not - thank you very much.
Michael Lueck
Lueck Free Software Foundation
www.lfsf.org
Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blue Pill is undetectable any operating system can be equiped with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same technigue for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnarable parts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 processor design. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability is already exploited by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS or programs running under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS must be able to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blue Pill and even to remove or block it.
Joanna, I do not understand why you cannot answer whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r VMWare works if installed after blue pill?
I need to save something for my presentations, right? ;)
Hi Joanna, you said:
You people really are too suspicious. Anyway, it shouldn't matter if this is "for good or bad", it's just interesting.
I think that Einstein thought in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way at his time, but do you think that he was happy about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dead in Hiroshima or Nagasaki?
What do you think about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r states preparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber War in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir armies? Crash down all computers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn world and you have a bigger chaos, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n in a conventional war. Congratulation, you give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perfect weapon. Thank you very much!
It is NOT only interesting, it is also a question of moral and responsibility for your doings.
I hope you know what your doing.
cu
Ron
1. I did not write those words - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were posted by somebody else! Please do read more carefully what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs write, before starting to accuse people! (I know, I know, you posted as 'anonymous', so you don't care...)
2. Comparing Blue Pill to Nuclear bomb is just ridicules!
3. What makes you think, that if I didn't publish my research, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people (those working for "Chinese and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r states preparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber War" as you said) would not be able to come up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same technology by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves? Do you think that I'm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only single person on this planet capable of creating such things? ;)
joanna.
Hi Joanna,
perfect reply! Eventhough I am not a programmmer - as a scientist I can only support your standing!
I got to your site by a newspaper article describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blue Pill project in a glance.
Just one question from my side: what would you use it for?
greetings from Vienna :)
I'd be much more interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method used to bypass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prohibition of loading unsigned r0 code on x64. If that "bug" (by design?) is taken care of before Vista is RTMed, this or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r rootkit technology would simply become purely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical. The only thing that bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs me is that 2 KM bugs that can be used to esecalate to r0 that I reported 8 months ago to MSRC are still unpatched..
You probably won't read this, but you should know that any SVM based VMM is easily detectable. It's not a design flaw. Read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Popek/Goldberg paper carefully and you'll see all VMMs have this basic property.
For "blue pill" to work at all, you have to trap certain instructions. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, you have to trap write cr3s (to implement shadow paging). Since cr3 is just a register, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of cycles it requires should be no more than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of cycles any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r register write takes.
Using this simple fact, you could determine if cr3 writes are being trapped. Even if you found a way to avoid trapping cr3 writes, you can do this sort of analysis for every possible trap. A sufficiently motivated system could very easily determine that it's under a VMM.
Google for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pioneer paper at SOSP. It presents a very neat system based around this idea for pre-VT/SVM systems. Unlike your "red pill" hack, it's not relying on artifacts of specific VMMs.
It always surprises me, when people start criticizing a work which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y haven't seen before, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y assume that this is done in a way *cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y* would do this... Dear Anthony, and what if I decided not to hook CR3? ;)
It might be interesting but I fail to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bigger picture. What's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point? Is it just fun to find security cracks or is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a greater purpose? Do we find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploits so that we may teach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industries how to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir technology, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir technology is inevitable our technology?
I think most people who don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implications of your research are probably prejudiced against anyone supporting black hat. I know of no one who wouldn't want to wring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 neck of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programmer who created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virus or bug that drove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m crazy.
All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "critisizers" need is more information. You could be building a weapon or a machine that solves world hunger but we won't know because you think we ask too many questions?
Forgive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skeptical scientist who wants more answers about that which he does not know.
A reply to all who suggest detection by time measurement:
You need a clock to measure time. All clocks that you can observe from within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix can be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretically compromised (including possible requests you can make to external NTP servers).
Hi Joana,
I wonder if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 x86 flaw you ar exploiting is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEH mechasnim, which is known to be very different and more secure or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 x64 platform.
Cheers,
Fabian
To all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 naysayers, prove or disprove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following statement:
"This statement is a lie."
Or similiar examples from Hofstadter, Turing, Gödel, et al.
Nice work, Joanna. I hadn't realized AMD and Intel were so far along, but I got slipped a few blues a few years ago and have been basically offline for over a year. And of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't print this stuff in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Morning News...
Looking forward to more details.
Joanna Rules!!! Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r concept. The future of security is full of surprise and excitement, having around scientists of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like of Rutkowska.
She's such a nice person...even if she doesn't reply to my emails!
Her mind is razor-sharp.
Her name is Joanna.
Your strong friend from Greece.
Incredible technology. I'm just thankful that Joanna is on our side. Imagine, people, if this wonderful lady was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 black hats? We'd all be a lot worse off than we already are.
It astounds me to see so many people logging on here and criticizing and ridiculing Joanna. Instead of doing this you should be thanking her for all her hard work and dedication. Thanks to her we will soon (if not already) have a working prototype of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blue-pill technology which will give us significant insight in how to counter act this technology when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "bad guys" develop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own.
Way to go, Joanna. You keep up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great work.
And Thank You.
--Freejack13 (anonymous because I'm just too damn lazy to fill out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form for a blog I'll never use)
Bonjour,
Bravo et félicitations pour votre travail.
Cordialement
Chris BART
REIMS
FRANCE
I think this kind of work is for good because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target technology can be reviewed and patched what will avoid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 revealed fail.
Sadly I could understand less than a half of all... But it is enough to say: Jonna rocks!
Go ahead, girl! ;)
Gratulacje
Hi Joanna. Are you a math whiz as well? I know that most great programmers are good at maths also. Whats your iq, like 150, 160?
Hello,
I have some questions regarding Your article : why simply don't use hypervisor supplied by CPU vendor ? Couldn't it detect and report any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r virtualization-like activities using hard-wired functionality ?
And what makes us thing, that, for example, a "Grey Pill" isn't already in place ? ;) In that case - i think it's better to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea publicly discussed, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n left behind in hope that no ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r will be smart enough to use it covertly for some evil purpose.
Good Luck on Your research !
Well done Joanna
I just wanted to know a couple of things:
Is Bluepill equally potent for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel 64-bit platform?
Are Macs vulnerable to Bluepill as well?
Since you have created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware, do u know how to combat it as well?
Joana, amazing presentation, thanks for sharing your knowledge
Regards, Cuernavaca Mexico
An earlier poster posted..."If you would have a system infected by a blue pill, and this system runs about 3 virtual machines. would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blue pill instaciate a 4th machine? if so would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware be able to 'spy into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems?."
But what if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blue Pill is not malware? What if it works best if it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact opposite, improving programmed/programmers source code racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than infecting it adversely and drawing attention to itself.
All it would take would be for a few doses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blue Pill to "unsettle" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Operating System for it to be recognised that ITs processor/ITs kernel had been compromised/hacked. The fact that processing had been improved, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than harmed, would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n render control of machines to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "blue pill pusher" for as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 processing remained Mutually Beneficial.
Any Denial of Service countermeasure to regain Control being counterproductive as it removes what is in effect a superior, stealthy Hypervisor improving Hypervision Control.
I've been thinkign about what You all have posted here (at least I kept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 constructive comments in mind), and... a few conclusions:
a) man-with-a-watch-security: as someone already pointed out, all clocks within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix are being controled BY cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix, so it can also make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir values are returned "correctly" - at least I know I'd do that if I were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix ;-)
b) I couldn't attend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference (I'll poke around for some sort of a transcript shortly), but to answer one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions - namely what would happen if two or more Blue Pills ran togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r - I believe that since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole idea is based on a simple design instead of a particular flaw, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re would be no "sharing violation" involved - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would just stack on top of each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and every one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m would believe IT is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix ;-) Well, that would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideal state anyway - I would think before allowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to somehow detect and communicate with each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, since that idea alone would mean that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re already exists a simple detection method ;-)
The whole idea of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix wasn't to sort out WHICH ONE was real - simply because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were all fake. That's all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is to it, I believe, and it all comes down to Your personal choice of 'reality' You so choose to believe to be "real". The sole idea of someone deciding for me what is real and what is not, depraving me of that choice - it's making me sick. Trusted Computing, for example, is IMO yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way of giving more power to those who already have enough. But hey, what else is new...
Back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matrix thingie ;-) I believe what I'm trying to say here (oh, my overconfidence ;P) is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easiest way to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blue Pill (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free will to choose Your own reality, and to observe how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality You are currently presented with deviates from what You chose. The problem here is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code - it's us, our lack of knowledge and our ignorance.
As to how it can be used - every person will have his or her own answer to that already in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mind. I, for one, visualized being able to abstract a lot of common things (like hardware handling, code auditing etc.) away, and concentrate on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very problem at hand without worrying about unrelated details (I know, I'm contradicting myself here, but hey, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world is based on binarism ;PPP). If You wish to use it for evil deeds, go right ahead, I can't stop You. Someone will. It's a constant race, so why bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r? :-)
Now - I'm no tech when it comes to writing extremely complex code (I wrote a few basic apps, and a lot of PHP code, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re You go), but I think I see a sort-of-a-way-out-of-this-problem-thingie: trick cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parent virtualization to recurse itself and terminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous one gracefully. In such a case cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blue Pill would NEED to know that it is a blue pill and not just yet anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r abstraction, hence it would need to be able to identify itself correctly, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many ways to detect something if it can be refferred to, even if only by itself. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix knows it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a whole world of difference, since it's impossible for that information to be "virtualized away".
I hope my post was at least a bit amusing ;-)
Best regards
Marcin Grzechowiak, Poland
you do know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real black hats never show up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conventions....
red hats. black hats. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same. do what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y love to do some get paid and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs dont. you do it for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rep and sng's of course
Good work Joanna :) keep up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good work on ur research :)
Greets from Suomi Finland
Yoshi
Hi Joanna,
You're thinking too small.
:-)
Wonderful paper, very smart thinking.
Up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page a bit a commenter, DiGriz said:
"Nice work, Joanna. I hadn't realized AMD and Intel were so far along, but I got slipped a few blues a few years ago and have been basically offline for over a year. And of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't print this stuff in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Morning News..."
I concur with those thoughts and have been dealing with a similar situation(s) that your paper appears to touch on.
There is a difference though, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're Macintoshes (PPC).
Don't stop reading.
You're on to something here and I'm way past worrying someone will think I'm paranoid, etc.
No one I've seeked out will touch this because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y think I'm in error, and that ... is just arrogance.
We have Xserves and workstations (PPC), I'm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SA.
Most talk is x86 based, so I have to "dance backwards in high heels" at times to get some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se concepts across.
This link is ring 0 related and speaks of "legal executions" that you also allude to.
http://www.securityfocus.com/columnists/402
Read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 (my) comments too.
I'd love to talk with you, or a colleague about this. I have examples, drives, screenshots and witnesses.
Really, nice work.
hylas
I'm confused...
Your article starts by noting that most trojans/backdoors/etc use a set method of install (in so many words.) Some hook DLLs, some do this, etc. My question is simply: why rely on hardware at all?
Think about this for a minute. Let's say we have a trojan, like maybe Netbus (just to pick one). If we use an installer for this cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical netbos, and make that installer infect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in about 15 different methods, all in software, would this not accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing? Sure, an antivirus might pick out 4 or 5, and a malware scanner 8 more, but if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's even one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 15 methods that goes undetected, even just in software, hasn't this accomplished cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general goal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware writer?
In practice, this works fine. If I'm an adware company (180Solutions, to pick one) and I can write something to install my software that uses 15 different methods of hiding it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a user has two choices. He can buy 10 different anti-spyware systems, which probably would detect all 15 install methods, or he can live with my adware. This creates anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, seperate problem for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user also. After you take an average modern system (we'll say a 2GHz Core Solo, just to pick one that's middle-of-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-road) and run 3 antivirus programs and 6 anto-malware systems, that system will run a lot more like a 1GHz P4. The point is that at some point, users have to make a choice. For malware vendors, this is a quick way to ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir software gets on (and stays on) a users system, while for users, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to pick between getting infected and running a clean yet slow system. It's not much of a choice, and I know many people who would probably choose to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems infected to hell (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n run some sort of offline scan every month) than run a ton of antimalware systems, yet this can open major security holes, since 1 month of keylogging has a pretty good chance of getting some very valuable data.
I'm just saying that, while this is VERY useful, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are easier and more reliable ways for would-be malware vendors to achieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same result in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild.
On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is one use for this I could see. Windows (every version I've seen, including vista beta 2) has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issue in that without proper antivirus, a basic winlogon hijacking bug can render a system worthless, in that an attacker can get user passwords, making all ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security moot. With this sort of VM-based attack, I could see a winlogon hijacking as far more effective.
That said, as for actual malware or virus installs, it's too much hassle for an average Joe Hacker to mess with.
I'd encourage everyone to listen to Steve Gibson's Security Now podcast - he did a very good job of explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principles to me (a lapsed programmer - now electronics engineer) and I think if hal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 posters above had listened to it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd have made more intelligent comments.
The research which produced "Blue Pill" is simply part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continuum of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 masses introduction to itself, as I see it. Such research, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products produced keeps mankind headed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 direction which is ever present in his mind; who am i? why am i here?
That some producers of technology may look unfavorably on such research is not, well, precedent setting.
Research is most often controversial - my opinion based on personal readings and observations, and statements of those more academically suited to speak on such matters - and have made some fantastical contributions to mankind.
I for one hope that we continue to ask and search out things we want to know.
There was a time when computing equipment consumed entire rooms, and access to such equipment and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 algorithms employed were restricted to those having a need to know.
Today, we - mankind - live closely within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology we create.
Vista to AMD: "let us go forward and drink of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blue waters, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time shall come when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 waters shall mineralize, taking pill form and thus establishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of our end."
AMD to Vista: "be not distressed one of many ages, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red one shall come on his mighty steed, ending it all in a purple haze, and we shall be saved."
Hello joanna;
very nice work and impressive!
I m a french security consultant.
Your research is opening new ways...
Thanks again !
The great Taoist master Chuang Tzu once dreamt that he was a butterfly fluttering here and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dream he had no awareness of his individuality as a person. He was only a butterfly. Suddenly, he awoke and found himself laying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, a person once again. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n he thought to himself, "Was I before a man who dreamt about being a butterfly, or am I now a butterfly who dreams about being a man?"
Have anyone checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own system environment :)
Joanna,
whilst obviously wanting to flatter you ;) , i think you
are right with regards to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people being capable of developing similar approaches to "blue-pill".
(looking at comments in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog)
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore i think your research
is very valid and extremely interesting. for a number of reasons.
what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chances of a Super "blue-pill-network"
being developed of "blue-pill" hosts communicating via covert channels?.
karl
I think it could be harder than some people believe to defeat timing measurements. NTP requests may be easy to identify, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are plenty of ways that such clock servers could be disguised. If I make two calls to two different external servers from within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Matrix, how do you know that those requests aren't cryptic communications with synchronized clock servers? You don't, that's how.
What I wonder is if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blue Pill sacrifices no system performance, could this technology be used in a similar way to do a "fast OS switch" on a number of different virtual machines with no performance loss?
I look forward to reading more.
Good work.
It is NOT only interesting, it is also a question of moral and responsibility for your doings.
I hope you know what your doing.
Oh come on, all you people spinning morality doom and gloom. Its better than concepts/technology like this be made public knowledge sooner racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than later. I'd much racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Black Hats may be using before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y start using it :D
Amazing, just like out of a Vinge's novel!! Great work!
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 olddddd blue pill swollowed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS trick!
oh joanna.. if only you'd have used your powers for Goodness instead Of evilness :)
interesting job you have. back in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day we didn't get paid For playing and having fun heheh. great work you've done tho and i'm impressed.
hi my name is muhtfe very nice informations and very nice blog thank you very much...
Let me echo everyone's sentiment and say nice work. Any word on how it's been received?
Wow this is a wonderful blog and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'blue pill' idea is fantastic and...scary at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time. It seems that no matter what new technology we come up with to make our lives easier, those same implementations can be used against us as a potential attack vector, given someone clever enough.
Regards
Turellius
This is a wonderful blog I have just stumbled upon. I must take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to thank cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who maintains this blog, obviously a security professional. All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology we develop to make life easier ends up being a possible attack vector, given a clever mind. This is just a fellow IT professional saying keep up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 awesome work.
Kris
I can't be but suspicious when I read about people making 'research' on such subjects.
Is it really for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of knowledge?
I am stunned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of people questioning Joanna's motives in investigating this! I think it is fascinating stuff.
You can be sure that 'bad' people will already be doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same. So I am all in favour of it being discussed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public domain. With enough 'good' people thinking about and investigating something, hopefully any weaknesses in operating systems can be patched up.
I am very interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of running internet servers, firewalls and so on, on virtual machines; of course it is of paramount importance that virtualization is bullet-proof. The worst-case scenario imaginable would be where, by exploiting a design or implementation flaw in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtualization hard- or software (of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same ilk as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flaws discusssed in this thread) an attacker was able to access a resource in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host machine from within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guest machine.
With people proactively investigating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mechanics of virtualization, hypervisors and so on, and bringing any potential vulnerabilities or abuses into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PUBLIC eye, we are more likely to move forward and use virtualization in increasingly important roles.
These comments have been invaluable to me as is this whole site. I thank you for your comment.
this kind of thing is kind of rediculous. If it is undetectable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it is not doing anything. If it were doing something we can see what it was doing.
So, I ask, what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of having software that does nothing?
Bla bla bla, to all of those good-guy evil-girl slowpokes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no spoon, so how can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re be something like good and evil ?
Undetectable...
Userland code can be undetectable too (Not undetectED, but undetectABLE) if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code is agressively polymorphic.
Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term polymorphic is a poor choice since we HAVE had poly code for a long time and usually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes are minimal and easily countered with opcode equivalency and heuristic detection. NDAs (Non-Deterministic Automatons) can pick cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m off quite easily.
What do you need for 'detection'? Well, you eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r need identifiable code (soft signatures) or identifiable behaviour (heuristics) or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r characteristic such as extra delays on certain sensitive handlers.
It is possible to avoid both of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se in a userland entity which parses its own structure into a data vector paradigm and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n recursively rebuilds that paradigm using a table of mnemonic vectors that stack to produce black-boxes that exhibit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vector under reconstruction.
The result is code that is entirely different from one generation to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next. The only stable elements (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual vector tables and any data required) are encrypted and accessed through an executable decryptor which is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reconstructed space... this leaves nothing for AV engines to get a handle on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overal heuristic detection of behaviours.
This too can be easily dealt with.
Once you take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se techniques to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel level cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is very little that can be done provided that you don't do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 obvious. For example, you don't want to patch interrupt tables because this can be checked - but patching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handlers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves can be fair game if done correctly.
Virtualising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, getting in under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing HAL or using kernel mode or hypervisor techniques is all well and good - but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't really solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem of undetectability except on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected platform itself.
One wouldn't ask an insane man whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r he thinks hes sane... and if you did, well, what faith could you ever have in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response. No, to be undetectable you have to be unrecogniseable given a snapshot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system under EXTERNAL scrutiny.
For that, you need a 100% fluid polymorphism based on a vector reassembly paradigm. In effect, providing completely fresh executable code per iteration with no signature potential.
And thats something you won't see on demo at a conference or available for download in a public off-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-shelf rootkit.
I suspect that very much like Joannas 'blue pill' we're talking about 'feasable detection' ... since anything can be detected given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 required time and resources. The point is, is it feasable or prohibitive to routinely check for such infections.
Whats worse, if you don't even know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code will look like when you see it... well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n things get tricky even when analysing offline snapshots of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heap and filesystem state.
Unfortunately (Or fortunately, I'm very dark-hatted), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer is probably a firm no at present.
I agree with ANCIENT´s comment:
"The point is, is it feasable or prohibitive to routinely check for such infections."
That has been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal of some virus writers for some time, i.e. ValleZ from 29A.
Coding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 undetectable malware is probably impossible (Z0MBie, former member of 29A was probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who was more near to that whis his ZMist), but if you make detection a really time consuming task, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, you won.
Great post! Thank you.
I was very disturbed by your presentation at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nordic virtualisation forum, even though as a technician racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a academic I didn't really understand a large part of what you were saying.. I'd never thought of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of hostile vitualisation as an attack vector.
Thanks for ruining my day! (and being very thought provoking) :)
The Blue Pill - counterpart of Red Pill...undetectable
I went to see you speak at Sector and what you presented really opened my mind. As a student in IT security you are very inspiring.
How likely is it that we find an "off-by-one" or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r exploitable bugs in HW? In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chipdesigners aren't putting togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r millions of single transistors, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y write "c=b+a" and a,b,c are described by datatypes.
It is very likely.
please answer
Would your redpill program be able to detect running in a simulator racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a virtual machine? I haven't thought deeply about it, but at first glance it seems like no.
Post a Comment