La backdoor Blue Pill indétectable sur Windows Vista ?

Par Rédaction, secuobs.com
Le 13/09/2006

---

Résumé : L’une des présentations les plus attendues de la dernière conférence Black Hat était surement bien celle de Joanna Rutkowska à propos de sa backdoor furtive d’un nouveau type “indétectable” car furtive par "design". - Lire l'article





L’une des présentations les plus attendues de la dernière conférence Black Hat ( lien ) était surement bien celle de Joanna Rutkowska à propos de sa backdoor furtive ; une backdoor, pour rappel, est un programme permettant de contrôler tout ou partie d'un système à distance.

L’annonce de sa conférence avait fait grand bruit depuis plusieurs mois avec l’attente d’éléments à propos d’une backdoor d’un nouveau type “indétectable” car furtive par "design". Il ne s’agit donc plus de cacher la présence d’une backdoor, mais de la rendre complètement indécelable par nature.

La preuve de concept (PoC) a été développée en utilisant la nouvelle technologie de virtualisation SVM/Pacifica d'AMD. L’idée de base de cette technique a été présentée la première fois par des chercheurs de Microsoft qui présentaient alors des techniques utilisant des virtualisations de plus haut niveau telles que celles de VMWare ou Virtual PC.

Blue Pill diffère par de nombreux aspects (Joanna les énumère sur son blog - lien ) mais plus particulièrement sur le fait, qu’à l’instar de la première version présentée par les chercheurs de Microsoft, Blue Pill utilise le SVM d’AMD.

Celui-ci permet d’entièrement virtualiser le système d’exploitation, contrairement aux virtualisations logicielles facilement détectables : plusieurs méthodes permettent par exemple de détecter un environnement VMWare (en analysant les pilotes, certaines adresses contenant des magic blocks caractéristiques, etc.).

La backdoor, s’exécutant alors dans son propre contexte, n’est plus accessible par les outils de vérification intégrés à Windows Vista. En revanche, un bug dans l’implémentation de cette virtualisation pourrait permettre de découvrir la backdoor et son environnement.

L’étude considère donc ce système comme viable. Blue Pill pose cependant le problème des infections multiples en raison de l’impossibilité de le détecter sur la machine compromise. La plupart des backdoors effectuent des tests préalables pour vérifier qu'aucune contamination antérieure n'a été effectuée. Ces types de vérifications ne peuvent être effectués dans le cas de Blue Pill en raison de sa furtivité.

Certains problèmes pourraient alors se poser alors en cas de contaminations multiples, débouchant sur des concurrences entre les instances avec pour possibles effets de bord des surcharges CPU, etc.

La chercheuse insiste sur le fait que le déploiement de la backdoor s’effectue à la volée, sans redémarrage ou modification du BIOS (ce qui est cependant légion sur la majorité des backdoors).

Le code source ne sera pas publié mais la société COSEINC Research, société employant la chercheuse, proposera des trainings sur Blue Pill permettant aux participants d’analyser le code source sur place.

Un prototype en version béta a déjà été développé. Plus d’informations sont disponibles sur le site de Joanna Rutkowska ( lien ) ainsi que sur son blog ( lien ).