IT специалисти съобщиха за нов тип заплахи за сигурността

[Lexy]

Германски IT специалисти съобщиха за нов тип заплахи за сигурността

Екип изследователи от Берлин съобщи за създаването на нов тип практически неоткриваем злонамерен софтуер, който може да бъде имплементиран в паметта на графични или мрежови карти. Патрик Стюин и Иля Битров от лабораторията FGSect (FG Security in Telecommunications) към Техническия университет в Берлин съобщиха, че са разработили реално работещ концептуален модел на вредоносен код, който може да бъде имплементиран в паметта на периферни устройства, както и модел на сензор, който може да открива тази и подобни на нея заплахи. По думите на експертите, опасността от тяхната разработка се състои в това, че тя може да атакува и похищава данни чрез системата DMA (Direct Memory Access).

Изследователите поясниха, че създаденият от тях злонамерен софтуер с името Dagger атакува runtime-паметта, до която програмата може да достигне чрез сегмента DMA, използван от компютрите за работата на хардуерните им компоненти, например графични чипове и мрежови карти. Според тях, тези заплахи са практически неоткриваеми дори от най-съвременен антивирусен софтуер. Нещо повече: няма никаква гаранция, че подобен подход не е бил използван или не се използва и в момента от хакерите.

Dagger може да атакува както 32-, така и 64-битови Windows- и Linux-базирани системи, а в допълнение може да заобикаля и вградения в операционните системи механизъм за рандомизация на адресите в паметта. Германските експерти разказват, че първоначално Dagger е бил разработван като кейлогър, но неотдавна в него била добавена и нова функционалност и сега той може да извършва атаки чрез runtime-паметта, като получава директен достъп до информацията, съхранявана в компютъра.

"Вредоносният код, експлоатиращ DMA, и съответните атаки, осъществявани с негова помощ, могат да бъдат стартирани от периферни устройства, като те могат напълно да компрометират устройството без използването на уязвимости в операционната система. От наша гледна точка, само по себе си това представлява критична уязвимост - към днешна дата нито една операционна система не разполага с механизми за откриване на DMA-атаки чрез периферни устройства", казва Стюин.

Изследването е финансирано от германското правителство, което на фона на нестихващите скандали със следенето и подслушването, осъществявани от Агенцията за национална сигурност на САЩ, е поръчало за собствени нужди разработването на детектори за вредоносен софтуер, експлоатиращ DMA. Стюин съобщи, че в момента вече е разработен сензор, способен да открива наличие на Dagger и подобен на него зловредни програми. Той уточни още, че DMA-софтуерът и сензорите за него представляват изключително компактен код, който не оказва влияние върху реалната производителност на компютъра.