UNA AVENTURA PELIGROSA–

ATAQUES A NIVEL DE
HYPERVISOR
Horatiu Bandoiu
Channel Marketing Manager
Bitdefender SE & LATAM
Agenda Whoami 3
La nube y la virtualización 4
Ataques 11
Debilidades intrínsecas 12
APT 15
Memory Introspection – HVMI 19
Conclusiones 28
 whoami
 > 15 años en la seguridad informatica
 2000 – 2004 Bitdefender
 2004 – 2009 Provision / iSEC / Zona IT :

 ISO 27001 – implementaciones en bancos,

telecom, petroliferas
 Promotor de CISA/CISM, ISO 27001 LA
 Colaborador de (ISC)2 – CISSP, SSCP –
Microsoft MCT
 Miembro de ISACA desde 2005
 Varios proyectos de IoT

Presente:
Bitdefender Ch Mkt Manager
Divulgador de la tecnología moderna y sus
particularidades
Padre de familia
 THE
NEW ERA OF
COMPUTING

UBICUIDAD EFFICIENCIA AHORROS

 La
ESENCIA DE LA
NUBE
¿QUE ES LA NUBE?
Enterprise Cloud
Mass Market Clouds
Server Virtualization Technologias Mercados/
SaaS (Service, Apps)
Storage Virtualization Modelos
Network Virtualization PaaS (Platform)
Desktop Virtualization IaaS (Infrastructure)
RaaS (Resource)
Device Virtualization
FaaS (Facility)
Autonomics

Grid Computing - DevOps

Usos

Consolidación en el Data Center

Public / Private /
Hybrid Clouds

Compute / Storage Clouds

Cloud Computing
Recursos en el Data Center
~ On-demand Computing
(servers, routers)
Utility Computing
~ Computer Center
Elastic Computing
Hosting Facility,
Scalable Computing
Server Farm, Data Farm
Future Internet
Desktops / Laptops
Internet of Services Visiones Infraestructuras
físicas Other Devices
Green IT
(mobile,
network equipments)
Tipos de virtualización – Tipo 1

System Calls

VM Exits / Entries

Instruction Set
Tipos de virtualización – Tipo 2

Virtualized
System Calls

VM Exits / Entries

System Calls

Instruction Set
Tipos de virtualización – Tipo 3 (micro – virtualización)

System Calls

VM Exits / Entries

Instruction Set
SMM & STM

System Calls

VM Exits / Entries

Instruction Set
Tipos de ataques:
Máquinas virtuales
Virtual Network Layer Hyper spacing A nivel del Hypervisor

MAC spoofing/snooping Hyperthreading Hyperjacking:

Ataques a nivel de IP  High attack surfaces
Buffer overflows
VLAN hopping  Blue Pill
Cache Poisoning

VM VM VM VM
A nivel de storage
A nivel de memoria
Memory overcommit, VNIC
Hypervisor Violaciones de la
optimized page sharing, autenticación, intercepción de
balloon drivers… las llaves de encriptación
Prioridades de ejecución vSwitch
Ransomware
PNIC
Hardware

CPU MEMORY STORAGE NETWORK

¿Cual es la principal debilidad de las infraestructuras en la nube?
¿LA COMPLEXIDAD?
SI Y NO =
La que nos falla es la
MEMORIA 

Transicion entre las

direcciones en memoria
física (RAM) y las
direcciones adresables
… porque tenemos segmentación y paging… y no solo estos
 ADVANCED
PERSISTENT THREATS
APT – El flujo del ataque – 5 steps kill chain
El malware avanzado
 BITDEFENDER

UNFOLLOW THE TRADITIONAL

Reforzando el hipervisor – MEMORY INTROSPECTION
 ?QUE ES?
MEMORY
INTROSPECTION
Seguridad desde fuera del Sistema Operativo
Elimina la superficie de los ataques a nivel del OS y del kernel del
OS
Pero puede tener un problema con el malware moderno que se
aprovecha de la complexidad de las arquitecturas y del trabajo
con la memoria, de las debilidades intrínsecas de la virtualización

La respuesta de Bitdefender:

Análisis de las imágenes en memoria básica de los SO
huéspedes y sus procesos/apps
Interceptamos y marcamos las paginas extendidas de asignación
de memoria (EPT) como non-Writeable y non-Xecutable
Auditamos los accesos a esas zonas por el código que se ejecuta
“inside VM” – especialmente los de W y X - y los permitimos o no
RETOS DE LA HVMI

 cortocircuitar el Semantic Gap – correlación entre las paginas de la

memoria básica y los SOs y sus procesos
¿Qué operaciones se han de ejecutar y porque?
¿Qué procesos se ejecutan y porque?

Asegurar un impacto de funcionamiento mínimo

 los eventos que se envían tienen una carga mínima
 interceptamos solo eventos “con sentido”
 gestionar rapidamente los eventos (análisis, re-ejecución / emulation,
renvío etc.)
¿Que protegemos y porque?
CONCLUSIONES:

 Cloud is a dangerous place…

 La virtualización tiene sus debilidades…
 La memoria – añade complexidad y posibilidades de abusos
 Los ataques modernos se ejecutan con privilegios iguales que el
antimalware o aun más altos
 Una solución potencial es la introspección en memoria
 Bitdefender les ofrece la posibilidad de enfrentarse al reto pero
tienen que pensar “out-of-the box”
 BITDEFENDER

START YOUR SECURE JOURNEY