Tesi etd-03202026-135609 |
Link copiato negli appunti
Tipo di tesi
Tesi di laurea magistrale
Autore
CONTI, SIMONE
URN
etd-03202026-135609
Titolo
HYPERVISOR-PROTECTED SECRET GUEST AGENTS FOR HONEYPOTS
Dipartimento
INGEGNERIA DELL'INFORMAZIONE
Corso di studi
CYBERSECURITY
Relatori
relatore Prof. Lettieri, Giuseppe
correlatore Prof. Vallati, Carlo
correlatore Prof. Vallati, Carlo
Parole chiave
- hypervisor security
- isolamento
- isolation
- KVM
- QEMU
- threat model
- virtualization
- virtualizzazione
Data inizio appello
15/04/2026
Consultabilità
Non consultabile
Data di rilascio
15/04/2096
Riassunto (Inglese)
This thesis proposes a controlled execution mechanism at the hypervisor level based on QEMU/KVM, designed to operate in the presence of a potentially fully compromised guest. The adopted security model assumes a strong attacker model, in which the guest operating system, including kernel-level privileges, is no longer considered trustworthy after an initial bootstrap phase. In this context, a one-shot bootstrap technique is introduced to establish a secure communication channel between the guest and the hypervisor, transferring a validated ABI and subsequently removing any execution traces from the guest.
Building on this phase, the hypervisor implements an arming procedure that prepares an isolated and controlled execution window: a host-private memory region is temporarily mapped into the guest and used to load code, stack, and payload communication structures. Execution is confined to a single vCPU, while the others are paused to ensure isolation and consistency. The complete state of the vCPU is saved and later restored, preventing persistent side effects.
The resulting system enables the execution of trusted code within a hostile environment, minimizing the attack surface and ensuring non-persistence and strong isolation properties, without introducing permanent dependencies in the guest.
Building on this phase, the hypervisor implements an arming procedure that prepares an isolated and controlled execution window: a host-private memory region is temporarily mapped into the guest and used to load code, stack, and payload communication structures. Execution is confined to a single vCPU, while the others are paused to ensure isolation and consistency. The complete state of the vCPU is saved and later restored, preventing persistent side effects.
The resulting system enables the execution of trusted code within a hostile environment, minimizing the attack surface and ensuring non-persistence and strong isolation properties, without introducing permanent dependencies in the guest.
Riassunto (Italiano)
La presente tesi propone un meccanismo di esecuzione controllata a livello di hypervisor basato su QEMU/KVM, progettato per operare in presenza di un guest potenzialmente completamente compromesso. Il modello di sicurezza adottato assume infatti uno strong attacker model, in cui il sistema operativo guest, inclusi privilegi kernel, non è considerato affidabile dopo una fase iniziale di bootstrap. In questo contesto, viene introdotta una tecnica di bootstrap one-shot che consente di instaurare un canale di comunicazione sicuro tra guest e hypervisor, trasferendo un’ABI validata e rimuovendo successivamente ogni traccia di esecuzione dal guest.
A partire da questa fase, l’hypervisor implementa una procedura di arming che prepara una finestra di esecuzione isolata e controllata: una regione di memoria host-private viene temporaneamente mappata nel guest, utilizzata per caricare codice, stack e strutture di comunicazione del payload. L’esecuzione viene confinata a una singola vCPU, mentre le altre vengono sospese per garantire isolamento e consistenza. Lo stato completo della vCPU viene salvato e successivamente ripristinato, evitando effetti persistenti.
Il sistema risultante consente l’esecuzione di codice fidato in un ambiente ostile, minimizzando la superficie di attacco e garantendo proprietà di non persistenza e isolamento forte, senza introdurre dipendenze permanenti nel guest.
A partire da questa fase, l’hypervisor implementa una procedura di arming che prepara una finestra di esecuzione isolata e controllata: una regione di memoria host-private viene temporaneamente mappata nel guest, utilizzata per caricare codice, stack e strutture di comunicazione del payload. L’esecuzione viene confinata a una singola vCPU, mentre le altre vengono sospese per garantire isolamento e consistenza. Lo stato completo della vCPU viene salvato e successivamente ripristinato, evitando effetti persistenti.
Il sistema risultante consente l’esecuzione di codice fidato in un ambiente ostile, minimizzando la superficie di attacco e garantendo proprietà di non persistenza e isolamento forte, senza introdurre dipendenze permanenti nel guest.
File
| Nome file | Dimensione |
|---|---|
Tesi non consultabile. |
|