Архив новостей

Телохранитель для гипервизора

Исследователи из университета Северной Каролины в содружестве с IBM создали прототип защитной системы, которая измеряет целостность гипервизора в скрытом режиме и в реальном времени.

Кибератаки на уровне гипервизора пока большая редкость, но в случае успеха их последствия могут быть катастрофическими. HyperSentry автономен от гипервизора и собирает данные по протоколу IPMI, используя собственный канал. Для запуска он вызывает обработчик системных прерываний SMI. В отличие от прочих защитных решений, HyperSentry проверяет не только область, выделенную под гипервизор, но и внутреннюю память ЦП, задействованную в его работе. Таким образом, если хитроумный зловред, скрываясь от обнаружения, задумает передислоцировать гипервизор, он а) не заметит слежки и b) не найдет укромного уголка.

Новый инструмент совместим с платформой Xen и будет представлен на 17-й конференции ACM по компьютерной и сетевой безопасности (CCS 2010). Его авторы в настоящее время работают над созданием версии для среды Linux KVM и надеются, что их технология займет достойную нишу на рынке open-source продуктов. В настоящее время ее реализация ограничивается серверными платформами. По словам разработчиков, одной из перспективных областей применения HyperSentry может стать мониторинг корпоративных систем управления.

Академические исследования на данном направлении финансируют Управление НИР сухопутных войск США, фонд NSF и компания IBM. Ранее этой же командой был создан прототип системы, которая блокирует попытки записи любого исполняемого кода на уровне гипервизора и предотвращает несанкционированные модификации кода. Инструмент был назван HyperSafe [PDF 197 Кб] и может теперь использоваться как дополнение к HyperSentry. Первую разработку в этой области университет Северной Каролины представил на суд общественности в прошлом году.

Телохранитель для гипервизора

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике