Эксперты по вопросам информационной безопасности из компании Clear Hat Consulting разработали прототип руткита, который использует для маскировки особенности конструкции современных процессоров.
Руткит нового типа использует так называемый режим системного управления (System Management Mode, SMM) центральных процессоров. Этот режим предназначен, в первую очередь, для реализации системы управления энергопотреблением, хотя может применяться и в иных целях. После активации SMM состояние регистров процессора сохраняется в специальной выделенной области физической памяти (System Management RAM), изолированной от операционной системы и приложений. Специалисты Clear Hat Consulting объясняют, что использование режима SMM и изолированной памяти существенно затрудняет обнаружение руткита. Между тем, злоумышленники могут незаметно воровать конфиденциальные данные и получать доступ к информации, хранящейся в оперативной памяти компьютера. Так, например, прототип руткита, созданный в Clear Hat Consulting, способен перехватывать данные, вводимые при помощи клавиатуры. Таким образом, киберпреступники теоретически могут воровать пароли и коды доступа к тем или иным онлайновым сервисам. Сотрудники Clear Hat Consulting планируют продемонстрировать свой руткит в действии на предстоящей хакерской конференции Black Hat, которая будет проходить в Лас-Вегасе в августе
|