Мнение

SubVirt — очередная страшилка

В среде специалистов по компьютерной безопасности шумиха: обсуждается идея «недетектируемого» руткита, основанного на технологиях виртуальных машин. Вопросы на повестке дня: о чем все это, и нужно ли начинать беспокоиться?

Проект руткита, работающего ниже уровня операционной системы, разрабатывается в Университете Мичигана и спонсируется Майкрософт. Широкой общественности стало известно о нем после публикации программы конференции IEEE Symposium on Security and Privacy, на которой будет представлена данная proof-of-concept-разработка.

Идея парней из Мичигана состоит в том, что можно вынести вредоносный код за пределы пользовательской операционной системы, сделав его принципиально невидимым изнутри нее. Для этого между операционной системой и оборудованием внедряется дополнительная прослойка, представленная монитором виртуальных машин (VMM). На стадии загрузки машины управление от BIOS переходит не к загрузчику пользовательской операционной системы, а к VMM, который в свою очередь загружает установленную операционную систему. Т.о., последняя оказывается «виртуальной машиной»; все взаимодействие между программами пользователя и оборудованием происходит через происходит через VMM.

Параллельно пользовательской, VMM скрытно запускает еще одну операционную систему. В ней исполняются вредоносные программы. Оборудование доступно им напрямую. Кейлоггер внутри «вредной» ОС может считывать нажатия клавиш клавиатуры, а троян-прокси — осуществлять сетевую коммуникацию. При этом следы их деятельности и код находятся за пределами ОС пользователя и, следовательно, не могут быть непосредственно обнаружены изнутри нее — даже при помощи сколь угодно мощного антивируса или фаервола.

Несмотря на кажущуюся опасность данной proof-of-concept-разработки, поводов для беспокойства я не вижу.

Во-первых, реализация такого руткита сложна и не под силу большинству вирусописателей — даже несмотря на то, что в качестве его основы берется готовый движок VMM.

Во-вторых, наличие прослойки между оборудованием и операционной системой невозможно скрыть — оно сказывается на работоспособности системы и значениях некоторых системных переменных.

В-третьих, обнаружить присутствие виртуализованного руткита довольно просто. Помимо отслеживания вышеупомянутых признаков снижения производительности, самый простой способ обнаружения и детектирования кода руткита — загрузка компьютера с внешнего устройства (USB, CD) и сканирование жесткого диска с него.

SubVirt — очередная страшилка

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике