| RSS



Меню

Bookmark and Share


Календарь
«  Май 2008  »
ПнВтСрЧтПтСбВс
   1234
567891011
12131415161718
19202122232425
262728293031

Статистика
Ваш IP: 18.117.231.160
Вы используете: v





Сейчас на сайте:

Тех поддержка ->

Облако тэгов
ОС видио Tor Обратная сторона антенна 4.6 PHP Эксплоит Windows Server 2008 qip Virtual chroot kernel proc sysctl tune FreeBSD bridge Boot Disk Bluetooth GEO game directx Emulator Python Shell DDoS червь Conficker вирус троян Лаборатория Касперского пиратство apple iPhone ИТ-отрасль Щеголев Microsoft экономический кризис Twitter социальная сеть анонимность Лицензия Open Source ASP.NET MVC уязвимость MySQL база данных файлообмен закон франция пират Skype мобильный Deutsche Telekom Хакер киберпреступник Trend Micro кибератака Германия робот утечка данных персональные данные ноутбук интернет Китай цензура ядро Linux Торвальдс Windows Vista Acer Linux патент браузер Firefox Internet Explorer Opera Net Applications Safari Intel Linux Foundation Moblin Oracle патч банкомат кардер HSM IBM X-Force Cofee сша кибервойна Эстония Dell ИТ-специалист хакерские атаки Pirate Bay контроль кибербезопасность язык программирования The Pirate Bay Пиратская партия утечка информации приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 Баллмер взлом Пентагон ботнет Украина Facebook Cisco cloud Windows XP нетбук торрент музыка биометрический nokia ФБР IP-адрес CIPAV Comcast sms RSA java Google CAPTCHA Symantec спам конфиденциальная информация инсайдер Perimetrix антивирус тест Anti-Malware Windows 7 операционная система Windows провайдер авторское право RapidShare UNIX свиной грипп шантаж дети EFF BluWiki копирайт экстремизм Panda Security cloud computing McAfee Cybercrime Response Unit Bottle Domains HTTPS ICANN студент шпионское ПО Норвегия школьник New York Times XSS YouTube Warner Music кибершпионаж КНДР Ubuntu свободное ПО AMD ATI касперский Россия РФ сервер хостинг фальшивый антивирус Comodo CA Wi-Fi D-Link суд пароль блог фишинг Одноклассники медведев контрафакт мошенник штраф Sony GPS по Gumblar JAVASCRIPT хакеры вредоносное ПО Yahoo ФАС компьютер Софт MPAA кибероружие PandaLabs Red Hat Минкомсвязи сбой ASUSTeK Computer мошенничество Доктор Веб ВКонтакте Cyber-Arc исходный код PCI DSS МВД фильтр порнография BREIN свобода слова Казахстан GEMA Autodesk сисадмин Gmail кредитная карта кибермошенник LiveJournal шифрование криптография Deep Purple банк нанотехнологии Wikipedia zero-day ColdFusion выборы кража данных DNS BIND Android BASIC атака Black Hat Mac OS X Click Forensics Clampi домен фсб Прокуратура Уголовное дело icq Barrelfish киберпреступность Sophos AT&T ошибка Electa Gamma Knife OpenBSD DARPA военные Сайт Visual Studio 2010 .NET Framework 4 Chrome OS электронная почта турция конференция спамер FTC полиция российская ОС Koobface Великобритания БЕЛОРУССИЯ грузия BSA Bittorrent облачные вычисления Azure Европа Dr.Web Билл Гейтс спецслужбы Cryzip Живой Журнал Royal Bank of Scotland смартфон Canonical Pwn2Own F-Secure Symbian Hotmail фильм

Главная » 2008 » Май » 12 » Процессорные руткиты - новый тип вредоносного ПО
00:44
Процессорные руткиты - новый тип вредоносного ПО
Специалисты по информационной безопасности из компании Clear Hat Consulting разработали новый тип экспериментального вредоносного программного обеспечения, способного маскироваться под аппаратные команды комплектующих частей компьютера, например под команды центрального процессора компьютера. Такой метод сокрытия вредоносного ПО делает его практически неуязвимым для существующих антивирусов.

Созданный SMM-руткит (System Management Mode - Режим системного управления) работает только в защищенной части памяти компьютера, которая может быть закрытой и в процессе работы оставаться невидимой для операционной системы. Однако нахождение кода в этом сегменте памяти дает атакующему полную картину того, что происходит данный момент времени в оперативной памяти компьютера.

По словам Шона Эмбелтона и Шерри Спаркс, исследователей из Clear Hat Consulting создавших код, SMM-руткит имеет смысл оснащать функциями клавиатурного шпиона, оснащенного коммуникационными возможностями. При помощи такой связки ПО злоумышленник может похищать персональные данные с компьютера-жертвы.

В Clear Hat Consulting говорят, что концептуальный модуль, способный работать по описанным принципам, они покажут в августе этого года на ИТ-конференции Black Hat в Лас-Вегасе (Невада, США).

Разработчики говорят, что почти все руткиты, созданные за последнее время, прибегают к различным уловкам для того, чтобы избежать обнаружения в компьютерах, но большинство руткитов в любом случае работают в среде операционной системы, что позволяет обнаружить их антивирусными средствами, работающими в той же ОС. Однако в последние несколько месяцев исследователи заговорили о возможности создания злонамернного ПО, работающего "над ОС". Например, недавно был показан руткит BluePhil, использующий для маскировки серверную аппаратную технологию виртуализации AMD, Symantec сообщила об обнаружении злонамеренного ПО, прячущегося в загрузочном секторе компьютеров, а антивирусные компании одна за одной говорят о появлении новых троянов и вирусов, применяющих те или иные трюки с системами виртуализации, чтобы доставать данные из виртуализованных ОС.

"Руткиты все чаще обращаются к аппаратной части компьютеров и в этом есть своя логика, чем глубже в систему вы проникаете, тем больше возможностей получаете и тем сложнее вас становится обнаружить", - говорит Шерри Спаркс.

Он отмечает, что в отличие от кода BluePhil, использующего новые и малораспространенные системы виртуализации, их разработка использует систему SMM, которая существует в компьютерах со времен появления поздних 386-х процессоров. Режим системного управления SMM первоначально был создан компанией Intel для того, чтобы производители аппаратного обеспечения могли обнаруживать ошибки в работе своих продуктов при помощи программного обеспечения. Также эта технология используется для управления режимами работы компьютера, например для перевода системы в спящий режим.

По мнению Джона Хисмана, директора по новым технологиям в компании NGS Software, в том случае, если на Black Hat будет действительно показан работающий руткит, способный как-либо эмулировать режим SMM и эксплуатировать эту возможность в своих целях, то этот момент станет очередным витком в развитии вредоносного ПО, так как современные антивирусы просто не смогут обнаружить такой код.

"В 2006 году исследователь Люк Дюфо впервые представил небольшой перехватчик, способный работать с SMM, полностью обойдя все политики безопасности ОС. Мы взяли эту концепцию, развили и дополнили ее кодами, позволяющими осуществлять удаленное администрирование машиной", - рассказывает Эмбелтон.

Для того, чтобы руткит в режиме SMM действительно работал исследователям пришлось написать также и системный драйвер для него.

Однако авторы разработки говорят, что их система вряд ли получит глобальное распространение из-за слишком жесткой привязки к конкретному оборудованию, однако для ориентированных заказных взломов эта концепция вполне может быть использована



















Категория: | Просмотров: 2026 | Добавил: aka_kludge | Теги: | Рейтинг: 0.0/0
Всего комментариев: 0
Главная
...
На службе : дней

19:21
Обновить


Пользователи
aka_kludge
qwerty
LeadyTOR
aka_Atlantis
AdHErENt
mAss
Sissutr
hiss
DrBio
tHick

Поиск

Архив записей


Copyright tHR - TeAM 2024 г. admin: aka_kludge (ICQ:334449009) Moderator's: LeadyTOR, ... Яндекс.Метрика