HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > ИНФО > Мировые новости. Обсуждения.
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Процессорные руткиты - новая угроза безопасности?
  #1  
Старый 10.05.2008, 23:27
elimS2
Постоянный
Регистрация: 21.03.2008
Сообщений: 400
С нами: 9547043

Репутация: 367
По умолчанию Процессорные руткиты - новая угроза безопасности?



Специалисты по ИТ-безопасности из компании Clear Hat Consulting разработали новый тип экспериментального вредоносного программного обеспечения, способного маскироваться под аппаратные команды комплектующих частей компьютера, например под команды центрального процессора компьютера. Такой метод сокрытия вредоносного ПО делает его практически неуязвимым для существующих антивирусов.

Созданный SMM-руткит (System Management Mode - Режим системного управления) работает только в защищенной части памяти компьютера, которая может быть закрытой и в процессе работы оставаться невидимой для операционной системы. Однако нахождение кода в этом сегменте памяти дает атакующему полную картину того, что происходит данный момент времени в оперативной памяти компьютера.

По словам Шона Эмбелтона и Шерри Спаркс, исследователей из Clear Hat Consulting создавших код, SMM-руткит имеет смысл оснащать функциями клавиатурного шпиона, оснащенного коммуникационными возможностями. При помощи такой связки ПО злоумышленник может похищать персональные данные с компьютера-жертвы.

В Clear Hat Consulting говорят, что концептуальный модуль, способный работать по описанным принципам, они покажут в августе этого года на ИТ-конференции Black Hat в Лас-Вегасе (Невада, США).

Разработчики говорят, что почти все руткиты, созданные за последнее время, прибегают к различным уловкам для того, чтобы избежать обнаружения в компьютерах, но большинство руткитов в любом случае работают в среде операционной системы, что позволяет обнаружить их антивирусными средствами, работающими в той же ОС. Однако в последние несколько месяцев исследователи заговорили о возможности создания злонамернного ПО, работающего "над ОС". Например, недавно был показан руткит BluePhil, использующий для маскировки серверную аппаратную технологию виртуализации AMD, Symantec сообщила об обнаружении злонамеренного ПО, прячущегося в загрузочном секторе компьютеров, а антивирусные компании одна за одной говорят о появлении новых троянов и вирусов, применяющих те или иные трюки с системами виртуализации, чтобы доставать данные из виртуализованных ОС.

"Руткиты все чаще обращаются к аппаратной части компьютеров и в этом есть своя логика, чем глубже в систему вы проникаете, тем больше возможностей получаете и тем сложнее вас становится обнаружить", - говорит Шерри Спаркс.

Он отмечает, что в отличие от кода BluePhil, использующего новые и малораспространенные системы виртуализации, их разработка использует систему SMM, которая существует в компьютерах со времен появления поздних 386-х процессоров. Режим системного управления SMM первоначально был создан компанией Intel для того, чтобы производители аппаратного обеспечения могли обнаруживать ошибки в работе своих продуктов при помощи программного обеспечения. Также эта технология используется для управления режимами работы компьютера, например для перевода системы в спящий режим.

По мнению Джона Хисмана, директора по новым технологиям в компании NGS Software, в том случае, если на Black Hat будет действительно показан работающий руткит, способный как-либо эмулировать режим SMM и эксплуатировать эту возможность в своих целях, то этот момент станет очередным витком в развитии вредоносного ПО, так как современные антивирусы просто не смогут обнаружить такой код.

"В 2006 году исследователь Люк Дюфо впервые представил небольшой перехватчик, способный работать с SMM, полностью обойдя все политики безопасности ОС. Мы взяли эту концепцию, развили и дополнили ее кодами, позволяющими осуществлять удаленное администрирование машиной", - рассказывает Эмбелтон.

Для того, чтобы руткит в режиме SMM действительно работал исследователям пришлось написать также и системный драйвер для него.

Однако авторы разработки говорят, что их система вряд ли получит глобальное распространение из-за слишком жесткой привязки к конкретному оборудованию, однако для ориентированных заказных взломов эта концепция вполне может быть использована.
cybersecurity.ru
 
Ответить с цитированием

  #2  
Старый 10.05.2008, 23:37
GlOFF
Постоянный
Регистрация: 08.05.2006
Сообщений: 816
С нами: 10531106

Репутация: 1338


По умолчанию

Что-то фантастическое
 
Ответить с цитированием

  #3  
Старый 10.05.2008, 23:48
n0ne
Постоянный
Регистрация: 01.01.2007
Сообщений: 796
С нами: 10188506

Репутация: 861


По умолчанию

https://forum.antichat.org/thread69829.html - не то же самое? или у них массово это?))
 
Ответить с цитированием

  #4  
Старый 11.05.2008, 00:11
elimS2
Постоянный
Регистрация: 21.03.2008
Сообщений: 400
С нами: 9547043

Репутация: 367
По умолчанию

нет. это не тоже самое, тут руткит, который нашел более укромное место чем предыдушие, а там чисто вирус на апаратном уровне, всмысле сами схемы так напаяны
 
Ответить с цитированием

  #5  
Старый 11.05.2008, 00:17
swt1
Постоянный
Регистрация: 16.02.2008
Сообщений: 395
С нами: 9596153

Репутация: 96
По умолчанию

ждём релиза :d
 
Ответить с цитированием

  #6  
Старый 11.05.2008, 00:57
Delimiter
Banned
Регистрация: 08.04.2005
Сообщений: 446
С нами: 11099536

Репутация: 518
По умолчанию

фигня все этого .... и раньше Cisc процессоры имели память микропрограмм.... но не один разработчик и не додумывался сунуть туда руткит!

... куда не плюнь, имиджевые акции! Бабки хотят грандоффф просят!
 
Ответить с цитированием

  #7  
Старый 11.05.2008, 07:17
ForNeVeR
Участник форума
Регистрация: 01.05.2006
Сообщений: 216
С нами: 10540906

Репутация: 62
По умолчанию

Честно говоря, не знаю, что такое SMM, однако если вирус сможет внедрить таким образом свой код, который якобы не сможет обнаружить антивирь - что мешает самому антивирю таким же образом внедрить свой код в SMM и ловить вирусы уже оттуда? Думаю, после появления такого виря все современные антивири будут поступать подобным образом. Как говорится, клин клином вышибают.

Всё, чего добьётся разработчик этого malware - старые антивири (выпущенные до его выхода) не смогут его обнаружить. Согласен, это по-прежнему довольно большой процент, и создавать всякие ботнеты/рассылать пинчи станет удобнее. Однако по существу бояться практически нечего.
 
Ответить с цитированием

  #8  
Старый 11.05.2008, 10:41
m0le[x]
Познавший АНТИЧАТ
Регистрация: 25.10.2006
Сообщений: 1,375
С нами: 10286306

Репутация: 1769


По умолчанию

Чувствуется мне замешана в этом деле Д. Рутковска...)
добавленно позже:
А хотя нет:
Цитата:
Он отмечает, что в отличие от кода BluePhil
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Wi-Fi на ноутбуке с Windows - угроза безопасности dinar_007 Мировые новости. Обсуждения. 0 17.01.2006 01:43



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.