Rubos公司的研究员Mikhail Utin称,他们认为世界上至少存在三个恶意程序管理程序Malicious Hypervisor实例,Hypervisor是虚拟化技术的核心,存在于虚拟层和物理层之间,但目前没有安全工具可以识别,研究员称这意味着目前没有计算机系统能够符合任何一项数据安全标准。
我们希望立即发布并讨论自2006以来存在的恶意管理程序威胁,这个问题一直被忽略了。
http://seclists.org/fulldisclosure/2017/Jun/29
2006,密歇根大学(MU)团队与微软研究团队共同发表了一篇文章。描述最先进恶意软件的发展,“subvirt:与虚拟机一起执行的恶意软件”。该研究由美国政府和英特尔公司的支持。
Hypervisor是什么
Hypervisor是一种运行在物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享一套基础物理硬件,因此也可以看作是虚拟环境中的“元”操作系统,它可以协调访问服务器上的所有物理设备和虚拟机,也叫虚拟机监视器(Virtual Machine Monitor)。Hypervisor是所有虚拟化技术的核心。非中断地支持多工作负载迁移的能力是Hypervisor的基本功能。当服务器启动并执行Hypervisor时,它会给每一台虚拟机分配适量的内存、CPU、网络和磁盘,并加载所有虚拟机的客户操作系统。
恶意程序管理程序Malicious Hypervisor
研究证明,虚拟化技术可以用来开发恶意软件(恶意程序管理程序Malicious Hypervisor ,MH),它可以访问任何部分,包括操作系统和用户应用程序,以及用户数据。这就是计算机隐形技术的定义,当前可用的安全工具无法识别此类管理程序。
大约2007 - 2008在英特尔公司主板上找到了一个已经被运到俄罗斯的管理程序,用于部署专用计算机系统。俄罗斯科学家发表了一篇文章,描述了他是如何发现BMC BIOS闪存中的恶意软件。这篇文章现在有英文版本。
科学家观察到,管理程序正在逐步改进,从一个版本到下一个,最终变得完全不可见,并与他的(现在嵌套的)管理程序一起工作。
2013,另一项MU研究证明,全球数百万服务器可以通过网络管理接口进行黑客攻击,加载恶意软件。这个恶意软件可能包括我们正在讨论的MH。那意味着一个巨大规模的威胁,因为MH将工作从BMC内存和Ring- 2级,从而具有最终控制计算机系统。
目前没有安全工具识别Hypervisor恶意软件
现在的局势是,这个高级威胁已经被成功地忽视了10多年。我们在市场上没有MH识别软件。我们认为,自2010以来,至少有三个实例存在于世上。
考虑到MH能够访问任何计算机数据,并执行MH所有者想要执行的大多数工作,
所以我们可以声称,自从2006以来,没有计算机系统符合任何数据保护规则,因为至少没有工具识别MH。这些数据保护规定包括,但不限于美国HIPAA,美国NIST sp-800,ISO 27000,DSS,以及新来者-欧盟通用数据保护条例。
完整的信息公布在
http://www.rubos.com
原文发布时间:2017年6月27日
本文由:securelist发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/malicious-hypervisor#
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站