Rootkit 2.0

ในงานสัมนาแฮกเกอร์ Joanna Rutkowska และ Alex Tereshkin ได้แสดงให้เห็นถึง Rootkit แบบเสมือนเป็นครั้งแรก โดยโครงการนี้มีชื่อว่า BluePill จะทำงานเหมือนกับเครื่องจักรเสมือน (VMWare) และจะแทรกตัวเข้าไปอยู่ระหว่างฮาร์ดแวร์และระบบปฏิบัติการ ทำให้สามารถรักษาการควบคุมได้ในทุกๆ สถานการณ์และยังป้องกันการทำงานของโปรแกรมป้องกันมัลแวร์ได้ด้วย นอกจากนั้นแฮกเกอร์ยังสามารถแทรก Rootkit เข้าไประหว่างการทำงานได้เช่นกัน ซึ่งผู้ที่ตกเป็นเหยื่อจะไม่มีโอกาศที่จะล่วงรู้ถึงการโจมตีได้เลย เนื่องด้วยโค้ดและชุดคำสั่งต่างๆ จะอยู่ในเว็บอย่างอิสระ ด้วยเหตุผลนี้จึงมีคำถามเหลือเพียงแค่ช่วงเวลาเท่านั้น ว่าจะมีสปายแวร์ต้วแรกที่ใช้เทคนิคนี้ออกมาเมื่อใด

เงียบสนิท Rootkit จะเข้ามาขโมยเครื่องจากเว็บ

อย่างไรก็ตามก็มีความเป็นไปได้ที่ Rootkit 2.0 นี้จะเป็นไปได้ด้วยการใช้ CPU รุ่นใหม่ในปัจจุบันที่มีเทคโนโลยี่ Virtualization ที่มีชื่อว่า Pacifica (AMD) หรือ Vanderpool (Intel) ซึ่งเป็นส่วนที่ใช้ในการสร้างและจัดการดูแลระบบเสมือน แต่ก็ไม่มีหลักประกันอะไรเนื่องจาก BluePill สามารถที่จะปรับให้เข้ากับเทคนิค Virtualization ได้อย่างง่ายดาย ดังนั้นสิ่งที่ต้องบอกต่อไปยัง Intel และ AMD คือให้ประกอบกลไกการป้องกันสำหรับคำสั่งเสมือนเข้าไปด้วย ซึ่งในที่นี้อาจจะเป็นรหัสผ่านที่เมื่อไม่ใช้รหัสผ่านก็ไม่สามารถที่จะปฏิบัติตามคำสั่งเหล่านี้ได้เป็นต้น

เนื่องจากแผนงานของทั้ง Intel และ AMD ยังไม่มีระบบกลไกป้องกันอยู่ ดังนั้นผู้เชี่ยวชาญจึงได้ทำงานเกี่ยวกับโปรแกรมป้องกัน ในงาน BlackHut ผู้เชี่ยวชาญด้านความปลอดภัยได้แนะนำเทคนิคที่จะเปิดโปง Rootkit แบบเสมือนได้ แต่สิ่งที่ตรวจพบได้ก็จะเป็นเพียงสัญญาณที่ระบบแสดงออกมา ซึ่งหากเกิดจากความไม่ตั้งใจอันเนื่องมาจากเครื่องเซิร์ฟเวอร์มีหลายระบบเชื่อมต่ออยู่ที่จะใช้อะไรไม่ได้เลย และนั่นก็ทำให้ผู้ใช้ยังคงหนีจาก Rootkit ไปไม่พ้นอยู่ดี

Credit : CHIP