Процессорные руткиты - новый тип вредоносного ПО

image

Теги: вредоносное ПО, антивирус

Новый тип экспериментального вредоносного программного обеспечения способен маскироваться под аппаратные команды комплектующих частей компьютера, например под команды центрального процессора компьютера.

Специалисты по информационной безопасности из компании Clear Hat Consulting разработали новый тип экспериментального вредоносного программного обеспечения, способного маскироваться под аппаратные команды комплектующих частей компьютера, например под команды центрального процессора компьютера. Такой метод сокрытия вредоносного ПО делает его практически неуязвимым для существующих антивирусов.

Созданный SMM-руткит (System Management Mode - Режим системного управления) работает только в защищенной части памяти компьютера, которая может быть закрытой и в процессе работы оставаться невидимой для операционной системы. Однако нахождение кода в этом сегменте памяти дает атакующему полную картину того, что происходит данный момент времени в оперативной памяти компьютера.

По словам Шона Эмбелтона и Шерри Спаркс, исследователей из Clear Hat Consulting создавших код, SMM-руткит имеет смысл оснащать функциями клавиатурного шпиона, оснащенного коммуникационными возможностями. При помощи такой связки ПО злоумышленник может похищать персональные данные с компьютера-жертвы.

В Clear Hat Consulting говорят, что концептуальный модуль, способный работать по описанным принципам, они покажут в августе этого года на ИТ-конференции Black Hat в Лас-Вегасе (Невада, США).

Разработчики говорят, что почти все руткиты, созданные за последнее время, прибегают к различным уловкам для того, чтобы избежать обнаружения в компьютерах, но большинство руткитов в любом случае работают в среде операционной системы, что позволяет обнаружить их антивирусными средствами, работающими в той же ОС. Однако в последние несколько месяцев исследователи заговорили о возможности создания злонамернного ПО, работающего "над ОС". Например, недавно был показан руткит BluePhil, использующий для маскировки серверную аппаратную технологию виртуализации AMD, Symantec сообщила об обнаружении злонамеренного ПО, прячущегося в загрузочном секторе компьютеров, а антивирусные компании одна за одной говорят о появлении новых троянов и вирусов, применяющих те или иные трюки с системами виртуализации, чтобы доставать данные из виртуализованных ОС.

"Руткиты все чаще обращаются к аппаратной части компьютеров и в этом есть своя логика, чем глубже в систему вы проникаете, тем больше возможностей получаете и тем сложнее вас становится обнаружить", - говорит Шерри Спаркс.

Он отмечает, что в отличие от кода bluepill, использующего новые и малораспространенные системы виртуализации, их разработка использует систему SMM, которая существует в компьютерах со времен появления поздних 386-х процессоров. Режим системного управления SMM первоначально был создан компанией Intel для того, чтобы производители аппаратного обеспечения могли обнаруживать ошибки в работе своих продуктов при помощи программного обеспечения. Также эта технология используется для управления режимами работы компьютера, например для перевода системы в спящий режим.

По мнению Джона Хисмана, директора по новым технологиям в компании NGS Software, в том случае, если на Black Hat будет действительно показан работающий руткит, способный как-либо эмулировать режим SMM и эксплуатировать эту возможность в своих целях, то этот момент станет очередным витком в развитии вредоносного ПО, так как современные антивирусы просто не смогут обнаружить такой код.

"В 2006 году исследователь Люк Дюфо впервые представил небольшой перехватчик, способный работать с SMM, полностью обойдя все политики безопасности ОС. Мы взяли эту концепцию, развили и дополнили ее кодами, позволяющими осуществлять удаленное администрирование машиной", - рассказывает Эмбелтон.

Для того, чтобы руткит в режиме SMM действительно работал исследователям пришлось написать также и системный драйвер для него.

Однако авторы разработки говорят, что их система вряд ли получит глобальное распространение из-за слишком жесткой привязки к конкретному оборудованию, однако для ориентированных заказных взломов эта концепция вполне может быть использована.


или введите имя

CAPTCHA
Страницы: 1  2  3  
12-05-2008 09:42:59
А внедрять его кто будет? Intel либо AMD?
0 |
12-05-2008 09:44:45
И те и другие разумеется
0 |
1
12-05-2008 09:55:20
кто-нить понял техническую сторону?
0 |
1
13-05-2008 07:04:46
Пишется драйвер, что-то куда-то внедряется, как-то запускается, и что-то делается. Бац! И всё работает, а антивирусы с файрволами хлопают ушами. Главное что много страшных слов ^^
0 |
1
13-05-2008 21:04:56
Пишется гипервизор, который может быть вполне себе трояном.Поскольку гипервизор работает уровнем ниже ос, у ос нет внятных возможностей его обнаружить.Что логично. Кстати идея не нова.Первыми заюзали гипервизоры для троянизации устройств против пользователя... сами производители!Например в игровых приставках (PS3, XBOX360) гипервизоры используются чтобы система даже стартуя в привилегированном режиме (ring0 в терминах интеля) не могла делать многие действия с железом напрямую.Гипервизор при обращении скажем к CD-ROM перехватит управление, посмотрит - "а что это за командочка там едет?Можно такую пропустить?Или нафиг?!" и далее или отбросит или пропустит.Типа полухардварного файрвола на доступ к периферии.Защита железки от пользователя.Не удивительно что данная технология показав свою мощь стала интересна и хакерам.А производители железа типа приставок показали что даже благое начинание можно и во вред пустить, для откусывания прав у пользователя.На PS3 например можно запустить линукс и даже как root залогиниться.Вот только всю работу OS фильтрует гипервизор, так что root далеко не полновластный хозяин своей системы.Он сможет только то что ему разрешил производитель (при том себе производитель разумеется разрешил больше).В случае виртуализации похожие действия - гипервизор позволяет системе не замечать тот факт что физический девайс на самом деле может использоваться кучей OS одновременно.Немудрено что хацкеры тоже озадачились вопросом как все это поюзать. P.S. вот только нормальными методами такой руткит подсунуть трудно .Проще просто раздать протрояненую ось как варез например.Кстати какой-то из варезных образов XP гуляющий по сети насколько я знаю как раз с встроенным троянчиком.Намного эффективнее всяких там руткитов - юзеры ставят ос а троян уже в комплекте с ней идет.Топорно и эффективно, насколько я знаю - какой-то ботнет за счет такого метода заражения пополняется.Думайте что и откуда качаете, а то от дурака - никак не защитишься.
0 |
13-05-2008 12:34:38
Все поймут техническую сторону, на Black Hat конференции, скорей всего это будет самая интересная тема на конференции в этом году.
0 |
1
12-05-2008 10:15:34
Для того, чтобы руткит в режиме SMM действительно работал исследователям пришлось написать также и системный драйвер для негоОх, замучаются вендузятники по всему Интернету драйвера для руткитов искать...
0 |
1
12-05-2008 20:41:40
Ты лох.
0 |
1
13-05-2008 09:38:02
Ясно. Вот и первый человек, не сумевший найти драйвер.
0 |
1
12-05-2008 10:18:34
Обратная сторона виртуализации..
0 |
1
12-05-2008 11:48:30
Как раз виртуализация тут и ни при чем
0 |
1
13-05-2008 21:11:16
Как раз виртуализация тут и ни при чем Ну, вообще никто не запрещает создать троянский гипервизор который втихаря будет переводить нечто желаемое пользователем в куда более реалистичную действительность обрубая то что "не положено" на корню.Собссно гипервизов может втихую и незаметно для ос менять работу с периферией.И кстати производители игровых приставок уже срубили пальму первенства в использовании гипервизоров во зло пользователю(ограничение прав юзера, раздача полных прав только производителю железки).Хакеры смогут быть как максимум вторыми, после MS и Sony. только на практике чем так колупаться на практике обынчо предпочитают просто раздать несколько измененную систему с внедренными троянами как варез, а потом с оравы незадачливых любителей халявы валится спам.
0 |
12-05-2008 10:19:25
Это слишком сложно. Этот код аппаратно зависимый. В данном случаи он будет работать только в пробирке.
0 |
1
12-05-2008 10:44:55
Оно и хреново. Значит это штучный продукт, защититься от котрого будет очень сложно. Провести удачное заражение датацентра, и предпирятие встает...
0 |
1
12-05-2008 14:34:53
ЛОЛ ))))) Дайте мне право на установку и запуск самопальных драйверов - и я поставлю раком ваш датацентр без всей этой херни, в 2 раза быстрее и даже бесплатно - чтобы чисто поржать над вами ))))))))
0 |
1
13-05-2008 21:17:44
Провести удачное заражение датацентра, и предпирятие встает... Уронить предприятие гораздо проще.Особенно с MSовскими продуктами.Просто засрать втихарика AD недостоверными данными а для пущей важности вызвать рассинхронизацию DC и сбои авторизации между ними.Через некоторое время все встанет колом а админы вздернутся на сетевом шнуре при попытке это починить.А пересоздать AD с кучей юзеров и DC в разных филиалах - застрелиться можно.И никакие руткиты нафиг не впились, эффект гораздо масштабнее P.S.: это не призыв к действию, просто константация возможности крупно нагадить какой-нить огромной конторе считанными кликами мышки и без всяких руткитов.В теории - например достаточно просто взять под контроль один единственный DC хоть каким-то методом и усе, вы админ не только на нем но и на куче машин в его домене.И нафиг возиться с руткитами?
0 |
Страницы: 1  2  3