SubVirt, el rootkit indetectable de Microsoft

Interesante nota la que enlazan en OSNews, en la que se plantea cual es el próximo paso en el turbio mundo de los rootkits. Perdonad el título, que reconozco que está puesto con una buena dosis de sarcasmo, pero al ver la información no he podido contenerme :)

Al parecer, los chicos de Microsoft Research, en coalición con investigadores de la Universidad de Michigan, han creado un prototipo de rootkit llamado SubVirt. La particularidad del invento reside en que este rootkit está pensado para operar no en máquinas físicas tradicionales, sino en máquinas virtuales, lo que podría potenciar hasta límites insospechados la capacidad de mimetización, conservando intactas las capacidades de control. En palabras de los creadores, sería indetectable.

SubVirt explota vulnerabilidades conocidas y deposita un motor de máquina virtual (VMM, Virtual Machine Monitor) bajo una instalación sea del tipo que sea, Windows, o Linux, según informan los investigadores.

En opinión de los responsables del proyecto, una vez que el sistema operativo objetivo está corriendo en una máquina virtual, aparentemente, el rootkit se torna indetectable, ya que su estado no puede ser consultado por ningún mecanismo de software de detección. La mayoría de antirootkits se basa en la búsqueda de discrepancias entre el registro y el sistema de archivos, con lo que esta verificación sería inútil para detectar SubVirt, al ser el entorno virtual.

La verdad, sin ver documentación no me queda nada claro cómo opera SubVirt ni tampoco me queda claro que sea indetectable, o hasta qué punto no es detectable. Tampoco tengo el especimen para meterlo en un VMWare o similar y ver cómo se comporta. Hay que esperar a que se libere información, si es que se libera.

SubVirt es el desarrollo estrella del Microsoft’s Cybersecurity and Systems Management Research Group, los responsables de otros proyectos como Strider GhostBuster y Strider HoneyMonkey. Tienen intención de presentar SubVirt en un simposio de la IEEE sobre seguridad y privacidad, a lo largo del presente año. La seriedad de este foro me hace pensar que una de dos: o bien el prototipo es realmente como lo pintan, lo cual sería una mala noticia, o bien los de I+D de Redmond han perdido la cabeza, porque ir a un foro de la IEEE sin pruebas contundentes y desarrollos muy sólidos es sinónimo de salir de allí con un buen rapapolvo, habida cuenta de la seriedad del Institute of Electrical and Electronics Engineers, Inc. Esperaremos hasta entonces para ver qué hay realmente de nuevo en esta historia. El desarrollo de la noticia, sin mucho dato técnico, está disponible en eweek.com.

Buscando en Google, he dado con este paper de la Universidad de Michigan, llamado SubVirt: Implementing malware with virtual machines. Habrá que tomar nota de lo que digan en él, ya que sus 14 páginas a doble columna, ya sin sorna, tienen pinta de contener un trabajo de investigación aparentemente serio y riguroso.

Yo, con todo el respeto hacia Microsoft y la Universidad de Michigan, tal y como comenté antes, no me creeré nada hasta que no pueda meter a SubVirt en una caja de arena de pruebas y ver por mí mismo cómo mis herramientas antirootkit hacen aguas detectando este especimen.