Gizlilik Kapasitesi Yüksek Rootkit’ler Ortaya Çıkıyor!

22.07.2007

Yapılan ilk sanallaşma yığınlarından faydalanma araştırmalarının/saldırılarının iki örneği Blue Pill ve SubVirt. İlk Blue Pill örneği; geçen yıl gerçekleştirilen SyScan Konferansı’nda Joanna Rutkowska tarafından sergilendi. Bu prototip, normal işletim sisteminden gizlenen hileli bir sanal makina ekranını (Virtual Machine Monitor) içeri atarak, esas itibariyle bir sanallaşma-tabanlı rootkit kavramının ilk versiyonunu oluşturuyordu. Ancak, bu durumda rootkit, sistemden gizlenen sanal saldırganın kontrolünde bir sanal makina yığınıydı.




Aslında Subvirt rootkit, Blue Pill sunumunun birkaç ay önce, “SubVirt: Kötü Niyetli Yazılımların Sanal Makinalar İle Uygulanması” başlığı ile bir gazetede haber olmuştu. Bununla beraber, bu iki rootkit arasındaki temel farklılıklardan birisi, Blue Pill’in bilgisayarın sanallaşmasını kullanarak, işletim sisteminin doğrudan bilgisayarla iletişime devam etmesine izin veriyor oluşu. Bunun aksine SubVirt, sanal makinaların bir dereceye kadar daha kolay saptanabilen, Vmware veya Virtual PC gibi ticari sanallaşma teknolojisine dayanıyor. Ayrıca, Blue Pill on-the-fly yüklenebilirken, SubVirt’i bir sisteme yüklemek daha zor.

Kaynak: byte.com.tr