Rumænere vil lægge antivirus under din Windows med virtualisering

For at få skovlen under den mere avancerede type malware arbejder rumænske Bitdefender på at grave antivirus ned under styresystemet via virtualisering.

Tilstrækkeligt avanceret malware kan kompromittere styresystemer, uanset hvor meget antivirus, der kører på dem. Rumænske Bitdefender har et bud på en løsning på det problem - og det involverer virtualisering på helt almindelige klientmaskiner.

Det fortalte virksomheden om under en presseseance for en håndfuld danske journalister i slutningen af oktober i Rumæniens hovedstad, Bukarest.

Når antivirus ikke er nogen garant mod et inficeret, så kan det eksempelvis være, fordi antivirusprodukterne ikke lige er opdateret med informationer om det konkrete stykke malware.

I udgangspunktet vil sikkerhedsprodukter hurtigt blive opdateret med de seneste signaturfiler, når nye trusler bliver detekterede.

Men dels skal nogen jo være de første til at blive inficerede, før truslen bliver detekteret, og så kan malware skræddersyes som en del af et målrettet angreb mod et enkelt individ i en organisation. Eksempelvis it-chefen, hvor målet kan være at kompromittere organisationens it-systemer i stort omfang. Og med målrettede angreb og skræddersyet malware falder detektionsraten selvsagt for de traditionelle signaturbaserede løsninger.

Læs også: Ny Android-adware tiltvinger sig Root-adgang og er næsten umulig at fjerne

Hvis det først lykkes for tilstrækkelig avanceret malware at snige sig under radaren og inficere systemet, så kan det i princippet være game over - uanset hvor meget antivirusproduktet ellers måtte blive opdateret med den rigtige signatur efterfølgende.

Noget malware er nemlig skruet sammen på en måde, så det kan inficere styresystemets kerne (eng. kernel). Og når det sker, kører malwaren i udgangspunktet i laget under eventuelle antivirusprodukter, som dermed ikke længere kan registrere, at systemet er kompromitteret.

»… så vi ikke skal konkurrere med en hacker«

Vice President Global Alliances Rares Stefan kunne berette under presse-seancen, at Bitdefender mener at have knækket netop den nød via en teknik, som virksomheden ifølge Stefan har arbejdet på de seneste fem år.

»Hvad nu, hvis vi fandt på en måde at lave sikkerhed på uden for operativsystemet?« lød det retorisk fra Stefan, som fortsatte:

»Det handler ikke om at være non-intrusive, det handler om at skifte paradigmet, så vi ikke skal konkurrere med en hacker, der har de samme privilegier, som du har.«

Nogle har måske gættet det. Nøglen i den løsning, som Bitdefender nu har udviklet, men endnu ikke har lanceret, er virtualisering. Tanken er at udnytte, at ikke bare store cloud-løsninger, men helt almindelige klienter med Windows kører oven på en hypervisor. Altså det lag, som de virtualiserede gæste-systemer kører oven på.

Memory-introspection

Bitdefender vil lægge deres sikkerhedsløsning ved hypervisor-laget og via det, virksomheden kalder memory-introspection, holde øje med, hvad der foregår i gæste-operativsystemet. Eksempelvis en Windows-installation. Og på den måde er det tanken, at mere avancerede malware-angreb skal kunne spottes.

Under præsentationen deltog også Bitdefenders Linux-mand, Mihai Dontu, som har den officielle titel Chief Linux Officer.

Han kunne fortælle, at memory-introspection af virtuelle miljøer i cloud-løsninger hos blandt andet Amazon ligger relativt ligefor. Blandt andet kører Amazons cloud via Xen-hypervisoren, hvor Bitdefender har været med til at påvirke open source-projektet i en retning, som understøtter denne form for memory-introspection.

Men sideløbende arbejder virksomheden altså også på at kunne køre virtualiseret sikkerhed på almindelige klienter - og for den sags skyld mobiltelefoner. Det skal foregå via en bare-metal (den kører direkte på hardwaren i stedet for i et andet OS) hypervisor, som Bitdefender selv har udviklet.

Det er tanken, at hypervisoren i princippet skal kunne fungere på alle mulige platforme, også mobiltelefoner. De kører dog en lidt anden processor-struktur end den Intel-basrede, som Bitdefender foreløbigt at virtualiseret.

»Den disruptive mulighed for os i markedet er at bringe memory-introspection til alle enheder, som du anvender. Det er lidt mere kompliceret (end cloud, red.). Vi virtualiserer faktisk processoren og hukommelsen. Men når du ser på Intel og ARM, så er der forskelle i arkitekturen,« sagde Mihai Dontu.

Oprindeligt en anti-rootkit

Mihai Dontu fortalte, at projektet oprindeligt startede som en løsningen udelukkende til bekæmpelse af rootkits. Altså ondsindet software, der eksempelvis inficerer et operativsystem på kernel-niveau.

Fra rootkit-bekæmpelsesløsningen har Bitdefender fortsat udviklingen hen mod et mere generisk antivirus-produkt, der kan sende beskeder til brugeren i gæste-styresystemet, når noget lusket bliver detekteret.

Og det har været mere udfordrende at nå dertil, fortæller Mihai Dontu. Det hænger sammen med, at hukommelsesområdet, som kernel anvender (og som rootkits sigter efter) er en mindre omskiftelig størrelse end det område, de øvrige dele af styresystemet bruger. Og dermed er potentielle ondsindede ændringer vanskeligere at detektere fra hypervisoren.

»Vi talte med nogle folk, som sagde, at det ville være mere værdifuldt, hvis vi kunne udvide ideen til userspace. Og det var mere vanskeligt, fordi det ikke er statisk som kernel. Det ændrer konstant sit layout,« sagde Mihai Dontu.

Han forklarede, at Bitdefender foreløbig har skabt en tynd og proprietær hypervisor, som kan køre under Windows. Og at virksomheden desuden gerne vil virtualisere alle hardware-elementer og altså ikke kun hukommelsen og cpu'en.

»Den tynde hypervisor bliver skudt ind i Windows-operativsystemet, hvor den virtualiserer cpu og hukommelse. Alle instruktioner bliver sendt til hypervisoren, hvor de bliver introspected af vores teknologi.«

Rares Stefan ville ikke sige, at løsningen kommer til at være usårlig over for malware.

»Som it-sikkerhedsprofessionel vil jeg ikke sige, den er ufejlbarlig. Men hypervisoren kommer kraftigt til at reducere angrebsfladen.«

Han tilføjede, at sikkerheden i systemet holder, 'så længe silicium’et og hypervisoren er sikre'.

Bitdefender forventer at lancere produkter, der anvender memory-introspection i et virtualiseret miljø, til både klienter og cloud-strukturer i løbet af 2016.

Du kan læse mere om arbejdet med memory-introspection i Xen her.

Version2 var inviteret til Bukarest af Bitdefender.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Flemming Riis

i stedet for.

Hvis nu AV vendor x,y,z lavede en service hvor de whitelistede ting i stedet for.

Hvis DLL/EXE x,y,z ikke er på listen kører den ikke , så er det script sprog tilbage.

Men hvis man kigger på hvor mange der ukritisk klikker på julemand.exe så er det en god start.

  • 0
  • 4
Jakob Møllerhøj Journalist

Jo, faktisk spurgte jeg, jeg fik det dog ikke lige med i artiklen. De mente, såvidt jeg husker, ikke overhead var et nævneværdigt problem. I hvor høj grad, dette er sandt, har jeg ikke haft mulighed for at vurdere. Det afhænger formentlig også af usecasen. Jeg hører dem lige en ekstra gang. Jakob - Version2.

  • 1
  • 0
Gert Agerholm

Det kommer nok an på hvor til man bruger sin PC. På arbejde inden for udvikling kører vi udelukkende med virtuatliserede Windows installation hvor det er MAC OSx der er det underliggende OS. Det eneste sted hvor man mærker performance nedgang er på grafikken. Men det kommer an på virtuatliserings softwaren. anvender man Parallels 10 eller 11 er der understøttelse for 3D HW acceleration og så kører grafikken fint.

Med en fornuftig HW er forskellen måske at sammenligne en bil der kan køre 300KM/h 4,5s 0-100 med en der kan køre 240 og er 8 sek. 0-100. Sidste er i praksis daglig brug nøjagtig lige så hurtig, kun når man presser citronen er den første hurtigere.

Jeg kan forestille mig at til spil kniber det, her får man ikke fuld cache for et evt. kraftigt grafikkort, men til de andre ting vil der ikke være problemer, med mindre man køber den billigste HW man kan opdrive. Men her performer Windows også dårligt på direkte HW.

Ideen med at scanne FØR det kommer ind til bruger OS'et er faktisk ret godt tænkt. Brugeren har ikke adgang til virtuatliserings OS'et fra den virtuelle PC og det lag vil derfor ikke kunne inficeres af brugeren.

  • 0
  • 0
Jakob Møllerhøj Journalist

De mente, såvidt jeg husker, ikke overhead var et nævneværdigt problem.

Jo. Den er god nok. Måske mindre overraskende, så mener Bitdefender ikke, virtualiseringstilgangen trækker de store cpu-mæssige tænder ud, hverken server/cloud-side eller på endpoints. Ift. det sidste oplyser virksomheden (med henvisning til processor-understøttelse af virtualisering):

»The Memory Introspection for Windows endpoints is a thin layer security hypervisor. It is a couple megabytes in size and boots before the OS and runs below the OS. Since it does not interfere with the resources of the operating system and it is hardware-accelerated, its impact on performance is still close to zero.«

  • 0
  • 0
Gert Agerholm

Teoretisk set en god ide, i praksis ubrugelig. Du efterlader 90% af brugerne i ingen mands land. De aner ikke hvordan de skal administrere og håndtere disse ting. Resultatet er at de har en PC som ikke kan det de har brug for, for det var ikke med på white listen.

  • 0
  • 0
Casper Jensen

Jeg har leget med Qubes tilbage i dagene

Den gang var det kun til linux så vidt jeg husker.

Jeg kan huske jeg fandt ideen smart men alt for besværligt at administrer. Og så er det ikke så flinkt over for os farveblinde, men det kan man vist rette i sin opsætning så den bruger farver man har nemmere ved at se til at beskrive hvilket sikkerheds nieavu man har valgt den pågældende app skal køre i...

Men er det Bit defender snakker om her, ikke det Comodo har haft i hele tiden? Sandboxing?

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize