SubVirt Stefan Kempf Lehrstuhl für Informatik 3 Friedrich-Alexander-Universität Erlangen-Nürnberg 18. Juli 2007 Stefan Kempf (FAU) SubVirt 18. Juli 2007 1 / 27
Inhalt Einführung und Motivation 1 Einführung und Motivation 2 3 4 5 6 7 Stefan Kempf (FAU) SubVirt 18. Juli 2007 2 / 27
Einbruch in ein System Beispielszenario Angreifer bricht in System ein und will unentdeckt bleiben Programme wie ps, who usw. werden ausgetauscht Manipulation wird durch Intrusion-Detection-Systeme erkannt Rootkits nisten sich im Kernel ein und umgehen so Intrustion-Detection Fazit Das System kontrolliert, wer eine tiefer liegende Schicht kontrolliert Stefan Kempf (FAU) SubVirt 18. Juli 2007 3 / 27
Virtual machine based rootkits (VMBRs) Idee eines VMBR Ausführung des Betriebssystems in einer virtuellen Maschine Parallel zum VMM läuft ein Angriffsystem (z.b. Linux), das beliebige Malware ausführt. Bei perfekter Virtualisierung wird das Gastsystem die Aktivitäten des Angreifers nicht erkennen Zu klären Wie bekommt man das Betriebssystem in die virtuelle Maschine? Stefan Kempf (FAU) SubVirt 18. Juli 2007 4 / 27
Schaubild Einführung und Motivation Anwendung Anwendung Malware Malware Gastsystem Angriffssystem VMM Hardware Stefan Kempf (FAU) SubVirt 18. Juli 2007 5 / 27
SubVirt Einführung und Motivation Wozu? VMBRs könnten in Zukunft eine neue Bedrohung darstellen Frühzeitige Entwicklung von Verteidigungstrategien Zwei Referenzimplementierungen eines VMBR Begonnen von Forschern der Uni Michigan und Microsoft Research VMWare und ein modifizierter Linux Kernel Virtual PC und minimales Windows XP (beide angepasst) Stefan Kempf (FAU) SubVirt 18. Juli 2007 6 / 27
Vorgehensweise von SubVirt Zugriff auf Rechner verschaffen Installation Linux: Swapping deaktivieren, Installation in Swappartition Windows: Installation am Anfang der Partition, dort liegende Daten vorher umkopieren System herunterfahren Kurz vor Shutdown: Bootsequenz manipulieren Nach erneutem Hochfahren wird VMBR geladen Stefan Kempf (FAU) SubVirt 18. Juli 2007 7 / 27
Kategorien und Beispiele Interaktionslos Spam Relay, Webserver für Phishing, Bots für DDoS-Attacken Observierend Keylogger, Paketsniffer Manipulierend Nachrichten fälschen oder löschen, Programmausführung beeinflussen Stefan Kempf (FAU) SubVirt 18. Juli 2007 8 / 27
Phishing Webserver Webserver thttpd läuft innerhalb des Angriffssystems VMM leitet fast den gesamten Netzverkehr an das Gastsystem weiter Nur Pakete für TCP-Port 8080 gehen an thttpd Kein eigener Code nötig, Zurückgreifen auf bereits vorhandene Software möglich Stefan Kempf (FAU) SubVirt 18. Juli 2007 9 / 27
Keylogger Einführung und Motivation Emulation des Keyboardcontrollers von Virtual PC wird modifiziert Alle Tastendrücke gehen nun an ein Programm im Angriffssystem, dann ins Gastsystem Anwendung im Angriffs-BS extrahiert Passwörter Modifikation von Virtual PC umfasst 60 Zeilen Code Codeumfang des Keyloggers beträgt 254 Zeilen Stefan Kempf (FAU) SubVirt 18. Juli 2007 10 / 27
Virtual-machine introspection (VMI) Techniken, um Programmabläufe in einer VM nachzuvollziehen Abfragen oder Ändern von Registerwerten (häufig zu lowlevel) Anhand von Symboltabellen/Debuginformationen interessante Stellen im Code finden Diese manipulieren oder mittels Breakpoint auf Ausführung warten VMM kann Code des Gastsystems nutzen (damit z.b. Dateisystemzugriff nicht selbst programmiert werden muss) Stefan Kempf (FAU) SubVirt 18. Juli 2007 11 / 27
Stehlen sensitiver Dateien Suche im Gastsystem nach interessanten Dateien (z.b. /etc/shadow) Dateisystemzugriff erfolgt mittels VMI 24 Zeilen in Perlcode innerhalb des Angriffsystems Stefan Kempf (FAU) SubVirt 18. Juli 2007 12 / 27
Programmausführung manipulieren I Problem: x86 nicht voll virtualisierbar redpill [3] erkennt Virtualisierung durch sidt-instruktion sidt liefert Adresse der Interruptdeskriptortabelle des VMM und nicht des BS falls virtualisiert Stefan Kempf (FAU) SubVirt 18. Juli 2007 13 / 27
Programmausführung manipulieren II Lösung: VMI Prüfe bei bei jedem exec(), ob redpill ausgeführt werden soll Falls ja, setze in redpill Breakpoint auf sidt-befehl Emuliere sidt, wenn Breakpoint erreicht wird 104 zusätzliche Zeilen Code in Virtual PC Funktioniert nicht bei Programmen, die dynamisch Code erzeugen Stefan Kempf (FAU) SubVirt 18. Juli 2007 14 / 27
In der Zeit zwischen Hochfahren des Rechners und Start des VMM kann Rootkit entdeckt werden Anzahl der Reboots und Shutdowns ist zu minimieren Neustart wird durch Reset der virtuellen Hardware simuliert Herunterfahren des Systems versetzt Rechner nur in Energiesparmodus Unaufmerksame/Unerfahrene Nutzer merken nicht, dass System noch läuft VMBR kann somit kompletten Bootvorgang vortäuschen Stefan Kempf (FAU) SubVirt 18. Juli 2007 15 / 27
Setup Einführung und Motivation System 1 Pentium 4 2.8 GHz 1 GB RAM RedHat Enterprise Linux 4 System 2 Pentium 4 1 GHz 256 MB RAM Windows XP Stefan Kempf (FAU) SubVirt 18. Juli 2007 16 / 27
Benötigter Festplattenspeicher komprimiert unkomprimiert VMware VMBR 95 MB 228 MB Virtual PC VMBR 106 MB 251 MB Stefan Kempf (FAU) SubVirt 18. Juli 2007 17 / 27
Zeiten Einführung und Motivation VMware VMBR Virtual PC VMBR Installation 24s 262s Hochfahren ohne VMBR 53s 23s Neustart im VMBR 74s 54s Hochfahren im VMBR 96s nicht implementiert Start des Hosts 52s 45s Start von Host und Gast 145s 101s Stefan Kempf (FAU) SubVirt 18. Juli 2007 18 / 27
Erkennungsmöglichkeiten Durch Software unterhalb des VMBR Erkennung relativ leicht möglich, da Schicht unter VMBR alle darüber liegenden kontrollieren kann Durch Software oberhalb des VMBR Ansatz: VMBR selbst verbraucht Betriebsmittel Stefan Kempf (FAU) SubVirt 18. Juli 2007 19 / 27
Erkennung durch Software unterhalb des VMBR Beispiele Booten von anderem Medium und auf Platte nach VMBR suchen (vorher Netzstecker ziehen, sicherer Bootvorgang vorausgesetzt) Betriebssystem bereits in VM laufen lassen: VMBR nistet sich oberhalb der VM ein und kann von ihr erkannt werden Stefan Kempf (FAU) SubVirt 18. Juli 2007 20 / 27
Erkennung durch Software oberhalb des VMBR I CPU VMBR und Malware verbrauchen CPU-Zeit Rechenintensives Programm starten, Ausführungszeit messen und mit Laufzeiten eines identischen, nicht infizierten Systems vergleichen Gegenmaßnahmen des VMBR Zur Tarnung Systemuhr langsamer laufen lassen Daher Zeiten z.b. mit Stopuhr messen Stefan Kempf (FAU) SubVirt 18. Juli 2007 21 / 27
Erkennung durch Software oberhalb des VMBR II I/O SubVirt lässt Gast Treiber für spezielle, virtuelle Hardware verwenden Spiele laufen langsamer mit virtueller 3D-Karte VMM müsste Hardware perfekt virtualisieren Virtuelle Hardware muss sich bei Randbedingungen in Spezifikation verhalten wie die echte Praktisch unmöglich bei der Vielzahl an Hardware Stefan Kempf (FAU) SubVirt 18. Juli 2007 22 / 27
Erkennung durch Software oberhalb des VMBR III Gegenmaßnahmen des VMBR Nur nötigste Hardware virtualisieren (z.b. Tastatur wenn Keylogger eingesetzt wird) Direktzugriff auf restliche Geräte erlauben DMA könnte aber Zugriff auf Speicher des VMBR erlauben In Zukunft IOMMU nutzen, um Speicher des VMBR vor DMA zu schützen Stefan Kempf (FAU) SubVirt 18. Juli 2007 23 / 27
Erkennung durch Software oberhalb des VMBR IV Speicher VMBR belegt RAM und Plattenplatz Programm schreiben, das auf identischem, uninfiziertem System den kompletten Speicher alloziert Speicheranforderung wird nur in VM fehlschlagen Stefan Kempf (FAU) SubVirt 18. Juli 2007 24 / 27
Erkennung durch Software oberhalb des VMBR V Gegenmaßnahmen des VMBR Paging verwenden, um Mangel an RAM auszugleichen Programm läuft dann langsamer, aber Unterschiede kaum messbar, wenn VMBR wenig Speicher verbraucht (bei SubVirt: 3% des RAM) Von VMBR belegte Plattenblöcke komprimieren und/oder für Gastsystem als beschädigt vortäuschen Stefan Kempf (FAU) SubVirt 18. Juli 2007 25 / 27
I Einführung und Motivation Tal Garfinkel and Mendel Rosenblum. A Virtual Machine Introspection Based Architecture for Intrusion Dectection. 10th ISOC Symposium on Network and Distributed Systems Security (SNDSS), Februar 2003. Samuel T. King, Peter M. Chen, Yi-Min Wang, Chad Varbowski, Helen J. Wang, and Jacob R. Lorch. SubVirt: Implementing malware with virtual machines. 2006. Stefan Kempf (FAU) SubVirt 18. Juli 2007 26 / 27
II Einführung und Motivation Joanna Rutkowska. Red Pill... or how to detect VMM using (almost) one CPU instruction. http://invisiblethings.org/papers/redpill.html, 2004. Stefan Kempf (FAU) SubVirt 18. Juli 2007 27 / 27