通常,跑黑帽的人今年组织了另一个恒星活动。威胁是真实的,非常冷淡。底线是,安全“研究人员”已经进入了利用领土,几乎所有公司都有严重不足的防御措施。主导主题正在利用Web服务,客户端Web浏览器和其他类型的应用程序安全弱点。是的,还提供了一种健康的硬件/驾驶员的漏洞利用。听到这些谈判后,这将明显成为防火墙,VPN和IPS技术,并不是为了帮助我们捍卫自己反对这些新兴攻击。但是,像应用程序防火墙,Web / XML防火墙等较新的防御工具可以帮助我们一些案件。我看到的问题是,大多数公司现在没有任何在生产中运行的东西。我找到了最有趣,最致命的主题,是关于虚拟化恶意软件或隐形恶意软件的主题。最着名的虚拟化恶意软件的演绎是Joanna Rutkowska的蓝丸项目。乔安娜一直在研究这一点大约2年了。这种东西不是理论上的,如果你想要代码你可以去她的网站并在这里下载http://bluepillproject.org/。此外还有她的黑色帽子演示文稿,称为Isgameover(),任何人?这是蓝丸的作品:
- 不知何故,你得到了在目标机器上执行的蓝丸(BP)代码。例如,您可以使用任何攻击方法,例如,病毒,间谍软件,XSS等
- BP需要硬件虚拟化,因此它只能在带有英特尔VT-X或AMD SVM的CPU的机器上工作。
- 当BP快速运行时(约1ms)并透明地将整个操作系统透明地移动到它控制的客户硬件虚拟机中。如果没有客户知道它并且不需要重启,就会发生这种情况。
- 由于BP现在对客户操作系统的最终控制,它可以拦截,修改或复制它所关心的任何东西。所有系统调用现在都经过蓝丸。
- 鉴于蓝色避孕药不需要改变原始操作系统,硬件或系统BIOS的工作,它是检测不到。蓝色药丸绕过所有新的Vista所提供的安全机制,以及任何AV,AS,HIPS或可能在目标机器上运行的软件。这是因为目标机器现在正在一个漂亮的清洁虚拟机中运行,将其视为PC内的PC,所有人都在生活中。
名称蓝丸(认为矩阵电影)没有意外。在电影中,如果Neo将选择Morpheus提供的蓝色药丸,他会忘记一切,并留在矩阵的无知幸福中。当迫使由Joanna Rutkowska开发的蓝色药丸rootkit时,对现实生活中的PC具有同样的效果。一旦感染蓝丸,你的主机操作系统就会在他被退出之前遇到与neo相同的事情。基本上他们都是谎言。就像矩阵一样,蓝丸是控制其主机的思想。主持人完全忘记了他们所经历的事实不是真实的,而是一个完全制作的环境,感受到真实的环境。主持人遗漏了确定真实的能力,从不是真实的,“你如何定义真实?”在一个环境中产生对自我控制的感知而暗中保留最终控制的环境中。操作系统,如矩阵中的一个人,是蓝丸的奴隶。 It will blindly trust anything that the Blue Pill tells it. But unlike the Matrix, the Blue Pill is completely undetectable (at least to date).
我希望有人能很快发现蓝丸中的“Déjàvu效应”!所以它带来了明显的问题,是我或你的电脑已经感染了蓝丸吗?你怎么知道的???