PCI карты – новый рай для руткитов?

PCI карты – новый рай для руткитов?

Исследователь в сфере компьютерной безопасности Джон Хисмен (John Heasman) опубликовал на прошлой неделе статью, описывающую способ сокрытия злонамеренного кода в графических и сетевых адаптерах, и таким образом обойти его обнаружение и «выжить» даже после полной переустановки операционной системы и форматирования диска.

Исследователь в сфере компьютерной безопасности Джон Хисмен (John Heasman) опубликовал на прошлой неделе статью, описывающую способ сокрытия злонамеренного кода в графических и сетевых адаптерах, и таким образом обойти его обнаружение и «выжить» даже после полной переустановки операционной системы и форматирования диска.

Документ, опубликованный в прошлую среду, основан на докладе, представленном Хисманом ранее в этом году, который описывает пути использования функций ACPI (Advanced Configuration and Power Interface), доступных практически на всех материнских платах, для хранения и запуска руткита, который сможет пережить перезагрузку системы. Последний документ описывает пути использования дополнительной памяти, доступной на PCI (Peripheral Component Interconnect) адаптерах, таких как графические и сетевые карты.

Хисмен, исследователь компании Next-Generation Security Software, сомневается, что эта техника будет широко использоваться:
«Поскольку многие пользователи не своевременно устанавливают обновления безопасности на Windows и не пользуются антивирусными приложениями, у авторов злонамеренных приложений нет особой потребности использовать предложенную мной технику как средства более глубокой компрометации системы», написал он в своей статье. «Если пользователь обнаруживает и удаляет злонамеренное приложение, есть еще много других пользователей в Интернет».

Хисмен в своем документе, также, описал потенциальную защиту от подобных руткитов. Путем аудита дополнительной и системной памяти, администратор может обнаружить подозрительно запутанный код и присутствие 32-битного кода, что вместе с другими факторами может означать компрометацию системы. Более того, компьютеры, которые используют Trusted Platform Module (TPM), защищающий процесс загрузки, будут защищены от подобных руткитов.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь