通常,跑黑帽的人今年组织了另一个恒星活动。威胁是真实的,非常冷淡。底线是,安全“研究人员”已经进入了利用领土,几乎所有公司都有严重不足的防御措施。主导主题正在利用Web服务,客户端Web浏览器和其他类型的应用程序安全弱点。是的,还提供了一种健康的硬件/驾驶员的漏洞利用。听到这些谈判后,这将明显成为防火墙,VPN和IPS技术,并不是为了帮助我们捍卫自己反对这些新兴攻击。但是,像应用程序防火墙,Web / XML防火墙等较新的防御工具可以帮助我们一些案件。我看到的问题是,大多数公司现在没有任何在生产中运行的东西。我找到了最有趣,最致命的主题,是关于虚拟化恶意软件或隐形恶意软件的主题。最着名的虚拟化恶意软件的演绎是Joanna Rutkowska的蓝丸项目。乔安娜一直在研究这一点大约2年了。这种东西不是理论上的,如果你想要代码你可以去她的网站并在这里下载http://bluepillproject.org/。此外还有她的黑色帽子演示文稿,称为Isgameover(),任何人?这是蓝丸的作品:
- 不知何故,你得到了在目标机器上执行的蓝丸(BP)代码。例如,您可以使用任何攻击方法,例如,病毒,间谍软件,XSS等
- BP需要硬件虚拟化,因此它只能在带有英特尔VT-X或AMD SVM的CPU的机器上工作。
- 当BP快速运行时(约1ms)并透明地将整个操作系统透明地移动到它控制的客户硬件虚拟机中。如果没有客户知道它并且不需要重启,就会发生这种情况。
- 由于BP现在对客户操作系统的最终控制,它可以拦截,修改或复制它所关心的任何东西。所有系统调用现在都经过蓝丸。
- 鉴于蓝色避孕药不需要改变原始操作系统,硬件或系统BIOS的工作,它是检测不到。蓝色药丸绕过所有新Vista提供了安全机制以及可能在目标机器上运行的任何AV,AS或HIPS软件。这是因为目标机器现在正在一个漂亮的清洁虚拟机中运行,将其视为PC内的PC,所有人都在生活中。
蓝色药丸(就像黑客帝国电影)这个名字不是偶然的。在电影中,如果尼奥选择了摩尔菲斯提供的蓝色药丸,他就会忘记一切,留在黑客帝国无知的幸福中。乔安娜·卢特科夫斯卡(Joanna Rutkowska)开发的“蓝色药丸”rootkit在强制输入时,对现实生活中的pc也有同样的效果。一旦感染了蓝色药丸,你的主机操作系统就会经历与Neo脱离母体之前相同的事情。基本上他们都生活在谎言中。蓝色药丸,就像黑客帝国一样,控制着宿主的思想。主人完全没有意识到他们所经历的不是真实的,而是一个完全虚构的环境,感觉就像真实的环境一样真实。宿主失去了判断什么是真实什么不是真实的能力,“你怎么定义真实?在一个产生自我控制的感觉,但秘密地保持最终控制的环境中。操作系统,就像黑客帝国中的一个人,是蓝色药丸的奴隶。 It will blindly trust anything that the Blue Pill tells it. But unlike the Matrix, the Blue Pill is completely undetectable (at least to date).
我希望有人能很快发现蓝丸中的“Déjàvu效应”!所以它带来了明显的问题,是我或你的电脑已经感染了蓝丸吗?你怎么知道的???