Архив новостей

Телохранитель для гипервизора

Исследователи из университета Северной Каролины в содружестве с IBM создали прототип защитной системы, которая измеряет целостность гипервизора в скрытом режиме и в реальном времени.

Кибератаки на уровне гипервизора пока большая редкость, но в случае успеха их последствия могут быть катастрофическими. HyperSentry автономен от гипервизора и собирает данные по протоколу IPMI, используя собственный канал. Для запуска он вызывает обработчик системных прерываний SMI. В отличие от прочих защитных решений, HyperSentry проверяет не только область, выделенную под гипервизор, но и внутреннюю память ЦП, задействованную в его работе. Таким образом, если хитроумный зловред, скрываясь от обнаружения, задумает передислоцировать гипервизор, он а) не заметит слежки и b) не найдет укромного уголка.

Новый инструмент совместим с платформой Xen и будет представлен на 17-й конференции ACM по компьютерной и сетевой безопасности (CCS 2010). Его авторы в настоящее время работают над созданием версии для среды Linux KVM и надеются, что их технология займет достойную нишу на рынке open-source продуктов. В настоящее время ее реализация ограничивается серверными платформами. По словам разработчиков, одной из перспективных областей применения HyperSentry может стать мониторинг корпоративных систем управления.

Академические исследования на данном направлении финансируют Управление НИР сухопутных войск США, фонд NSF и компания IBM. Ранее этой же командой был создан прототип системы, которая блокирует попытки записи любого исполняемого кода на уровне гипервизора и предотвращает несанкционированные модификации кода. Инструмент был назван HyperSafe [PDF 197 Кб] и может теперь использоваться как дополнение к HyperSentry. Первую разработку в этой области университет Северной Каролины представил на суд общественности в прошлом году.

Телохранитель для гипервизора

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике