Специалисты по безопасности разработали руткиты нового типа, которые скрываются от антивирусного ПО в потаенной части микропроцессора. Так называемый руткит System Management Mode (SMM) работает в защищенной части компьютерной памяти, которую можно сделать невидимой для операционной системы, и позволяет злоумышленникам следить за тем, что происходит в оперативной памяти компьютера.

Руткит SMM наделен программами слежения за нажимаемыми клавишами и коммуникаций и может применяться для кражи конфиденциальной информации. Создавшие его сотрудники компании Clear Hat Consulting из Флориды, Шон Эмблтон и Шерри Спаркс, обещают продемонстрировать образец на конференции по безопасности Black Hat, которая будет проходить в Лас-Вегасе в августе.

Руткиты, используемые киберпреступниками сегодня, — это коварные программы, которые во избежание обнаружения заметают собственные следы. Они получили широкую известность в конце 2005 года, когда компания Sony BMG Music воспользовалась руткитом, чтобы спрятать ПО защиты от копирования CD. Впоследствии, чтобы избежать скандала, компании пришлось отозвать с рынка миллионы своих компакт-дисков.

Однако в последние годы исследователи ищут способы исполнения руткитов вне операционной системы, где их труднее обнаружить. Например, два года назад Джоанна Рутковская разработала руткит Blue Pill, который в качестве укрытия использует встроенную технологию виртуализации процессоров AMD. По ее словам, со временем эта технология может быть использована для создания «абсолютно невидимого вредоносного ПО».

«Руткиты все больше и больше углубляются в аппаратуру, — говорит Спаркс, который три года назад написал еще один руткит, Shadow Walker. — Чем дальше они в нее проникают, тем труднее их обнаружить». В отличие от Blue Pill, руткит SMM эксплуатирует функцию, которая существует давно и присутствует в гораздо большем количестве машин. Она появилась еще в процессорах Intel 386 — как способ для поставщиков оборудования программно исправлять ошибки в своих продуктах. Эта же технология помогает управлять потребляемой мощностью компьютера, например, переводя его в режим «сна».

Исследователи давно высказывали предположение, что можно написать вредоносное ПО, работающее в режиме SMM. В 2006 году Луи Дюфло продемонстрировал, как именно может работать вредоносная SMM-программа. «Дюфло написал маленький обработчик SMM, который взламывает модель защиты ОС, — говорит Эмблтон. — Мы же развили эту идею, написав более сложный обработчик SMM с применением методов, используемых в руткитах».

Изолированность от операционной системы делает этот руткит невидимым, но это означает также, что хакеры должны писать драйвер специально для атакуемой системы. «Я не считаю это широкой угрозой, так как она сильно зависит от аппаратуры, — пишет Спаркс. — Этот метод может применяться только для целенаправленных атак».

12 мая, 2008

Algonet.ru

*