MBR-инфекции возвращаются

...

Эксперты Symantec в своем очередном августовском отчете объявляют о возобновлении интереса хакеров к инфекциям MBR (Master Boot Record, основная загрузочная запись). Операция по проверке загрузочного сектора жесткого диска проводится непосредственно сразу после включения компьютера. Инфицирование данной области позволяет перехватить управление компьютером. Поэтому изменение MBR столь привлекательно для создателей вредоносного ПО. При этом данная методика довольно сложна и требует высокой квалификации. Возможно, именно по этой причине не так много хакеров пользуются ей.



Прошлым летом появился троянец Backdoor.Tidserv, поражающий файлы системного реестра. Однако на тот момент еще нельзя было сказать, что MBR-инфекции пользуются большой популярностью среди кибер-мошенников. К августу этого года картина изменилась: на данный момент в активе хакеров уже есть Backdoor.Tidserv.M, Trojan.Smitnyl, Trojan.Fispboot, Trojan.Alworo и Trojan.Cidox. Это указывает на всплеск интереса к MBR, подобного которому не наблюдалось в предыдущие три года, сообщает securelist.

Современные загрузочные вирусы обладают большими возможностями, чем их предшественники десятилетней давности. Среди них появились вредоносные программы с принципиально новым подходом, такие, как Trojan.Cidox, который вместо MBR заражает область IPL (Initial Program Loader). По мнению экспертов, барьер для выхода загрузочных вирусов к настоящему моменту оказался занижен — их создателям даже не пришлось готовить рынок для появления данной разновидности вредоносного ПО.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Black Hat: атака EtherOops использует неисправные Ethernet-кабели

Компания Armis, занимающаяся исследованиями в области IoT, собирается рассказать подробности нового вектора атаки, способного поразить устройства во внутренней корпоративной сети. Эксперты планируют погрузиться в детали метода на конференции Black Hat USA.

Новая форма атаки получила имя EtherOops. Согласно теории исследователей, она сработает в том случае, если в атакуемой сети будут неисправные Ethernet-кабели.

Специалисты Armis сразу оговорились: обнаруженный в лабораторных условиях вектор атаки пока существует лишь в теории, EtherOops нельзя расценивать как распространённую проблему, затрагивающую корпоративные сети по всему миру.

Тем не менее хорошо подготовленные правительственные кибергруппировки могут использовать EtherOops в своих целях.

В сущности, обнаруженный специалистами метод представляет собой атаку «пакет в пакете» — когда сетевые пакеты вложены друг в друга. При этом внешняя оболочка является безобидным пакетом, а внутренняя содержит вредоносный код или команды.

Легко понять, что внешние пакеты нужны для обхода защитных средств сети (файрволов и т. п.). Именно благодаря им в сеть жертвы проникают вредоносные пакеты.

А причём тут тогда кабели? По словам Armis, неисправные Ethernet-кабели способны перемещать биты внутри пакета, медленно разрушая внешнюю оболочку. При этом внутренняя останется вполне рабочей.

 

«Сложно? Да, но вполне возможно», — заявили эксперты.

Armis запустила специальный веб-сайт, на котором подробно описан метод EtherOops. Дополнительно исследователи выложили два видеоролика (прикладываем ниже), демонстрирующих атаку, а также опубликовали подробный технический разбор (PDF) EtherOops.

 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru