Trao đổi với tôi

http://www.buidao.com

7/7/09

[Rootkit] Chỗ ẩn náu mới của rootkit: Bộ vi xử lý!

Các chuyên gia bảo mật đã tạo ra một dạng rootkit hiểm độc mới, có thể tự ẩn mình bên trong vi xử lý máy tính để né tránh các phần mềm diệt virus hiện hành. Với tên gọi rootkit Trạng thái Quản lý Hệ thống (SMM), rootkit này hoạt động bên trong một bộ phận được bảo vệ của bộ nhớ máy tính.

Nguồn: Microway

Hacker có thể "khóa trái" bộ nhớ máy tính lại và làm cho nó trở nên vô hình trong mắt hệ điều hành, song hắn vẫn có thể theo dõi sít sao những gì đang diễn ra bên trong bộ nhớ.

Đi kèm với rootkit SMM là phần mềm theo dõi bàn phím - được sử dụng để đánh cắp thông tin nhạy cảm từ máy tính nạn nhân.

Phần mềm này sẽ được hai chuyên gia Shawn Embleton và Sherri Parks trình diễn tại Hội thảo Bảo mật Black Hat diễn ra ở Las Vegas vào tháng 8 tới.

Rootkit là thuật ngữ chỉ các phần mềm do thám, nghe lén có khả năng ngụy trang và xóa dấu vết tối đa để tránh bị hệ thống scanning phát hiện.

Rootkit đột ngột trở nên "nổi tiếng" và được nhiều người biết đến từ cuối năm 2005, khi hãng đĩa Sony BMG Music sử dụng kỹ thuật rootkit để che giấu phần mềm chống sao chép.

Vụ việc vỡ lở và Sony BMG phải hứng chịu búa rìu dư luận một cách gay gắt. Kết quả là hãng này đã buộc phải thu hồi hàng triệu đĩa CD có cài rootkit trên toàn thế giới, trong một vụ scandal thuộc loại "đen tối" nhất lịch sử làng ghi âm.

Từ đó đến nay, nhiều chuyên gia đã thử tìm cách chạy rootkit bên ngoài hệ điều hành - khiến cho chúng khó bị phát hiện hơn nhiều.

Nguy cơ hẹp

Lấy thí dụ, cách đây 2 năm, nhà nghiên cứu Joanna Rutkowska đã giới thiệu một loại rootkit có tên Blue Pill, sử dụng công nghệ ảo hóa cấp độ chip của AMD để ẩn thân.

Theo lời bà Rutkowska, Blue Pill có thể tạo ra những phần mềm phá hoại (malware) "vô hình 100%".

"Càng ngày, rootkit càng có xu hướng rúc vào phần cứng", Sherri Parks cho biết. "Càng rúc sâu vào trong hệ thống bao nhiêu, hacker càng có sức mạnh và quyền năng bấy nhiêu. Cùng lúc, các phần mềm bảo mật càng khó phát hiện ra chúng".

Việc SMM trốn trong bộ nhớ khiến cho nó an toàn hơn Blue Pill rất nhiều, Giám đốc nghiên cứu John Heasman của NGS Software, một hãng tư vấn bảo mật so sánh. "Các phần mềm diệt virus hiện hành sẽ biến thành kẻ mù lòa trước SMM".

Thực ra, giới nghiên cứu đã tin rằng malware có thể chạy trong môi trường SMM từ cách đây khá lâu. Ngay từ năm 2006, chuyên gia Loic Duflot đã trình diễn cách một malware SMM sẽ hoạt động như thế nào.

Tuy nhiên, việc viết rootkit SMM không hề dễ dàng, bởi hacker sẽ phải viết mã driver riêng biệt cho hệ thống mà chúng dự định tấn công.

"Tôi không nghĩ đây là một nguy cơ diện rộng - nó lệ thuộc rất nhiều vào phần cứng".

"Trên thực tế, bạn sẽ chỉ bắt gặp hình thức rootkit này trong các cuộc tấn công diện hẹp mà thôi. Tôi cũng không dám chắc rootkit SMM 100% không thể phát hiện - nhưng quả thực là nó ẩn mình rất giỏi", Parks nói.

(Theo VietNamNet/PCWorld)


Trọng Cầm (Theo PCWorld)