Лаборатория Касперского рассказала о новом варианте буткита
Главная » Новости

Лаборатория Касперского рассказала о новом варианте буткита

Александр Панасенко 15 Мая 2009 - 11:36
...

Новая версия буткита, обнаруженная в конце марта, распространяется через взломанные сайты, порноресурсы и сайты, с которых можно загрузить пиратское ПО. Практически все серверы, участвующие в процессе заражения пользователей, имеют «русскоязычный» след: работают в рамках так называемых «партнерских программ» - схем взаимодействия между владельцами сайтов и авторами вредоносных программ.

К относительно новым технологиям можно отнести механизм создания доменного имени сайта, с которого будут распространятся эксплойты. Этот метод делает практически невозможным применение «черных» списков для блокирования доступа к сайтам с эксплойтами.

Буткит, как и прежде, использует способ, основанный на заражении MBR, для того, чтобы загрузить свой драйвер во время старта операционной системы. Но по сравнению с предыдущими версиями, задействованы более продвинутые технологии сокрытия присутствия в системе. Существенные изменение претерпел код драйвера. Большинство ключевых функций, устанавливающих перехваты системных функций ОС или являющихся перехватами, морфированы, что заметно усложняет процедуру анализа вредоносного кода.

Из сравнения показателей обнаружения буткита продуктами антивирусных компаний следует, что при очередном изменении злоумышленниками алгоритма создания имени домена и методов упаковки эксплойтов с телом буткита, ни один из них не сможет остановить проникновение буткита на компьютер и после этого оперативно вылечить зараженную систему.

«Лаборатория Касперского», обеспечивает надежную защиту своих пользователей от новой модификации буткита на всех этапах его работы. При посещении зараженной страницы Kaspersky Internet Security блокирует доступ к генерируемому имени сайта для загрузки эксплойта, скрипты для создания и загрузки эксплойтов и самые опасные и актуальные эксплойты.

Работа последней модификации буткита демонстрирует необходимость улучшения существующих антивирусных технологий, способных эффективно противодействовать не только попыткам заражения компьютеров, но и обнаруживать сложнейшие угрозы, действующие в операционной системе на самом «глубоком» уровне.

 

Источник 

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая атака VMSCAPE: Spectre вернулся и бьёт по AMD Zen и Intel Coffee Lake
Екатерина Быстрова 12 Сентября 2025 - 09:18
Уязвимости программ Общее
Новая атака VMSCAPE: Spectre вернулся и бьёт по AMD Zen и Intel Coffee Lake

Швейцарская высшая техническая школа Цюриха снова напоминает миру, что история с Spectre ещё далека от финала. Исследователи из университета нашли новую уязвимость в процессорах AMD Zen и Intel Coffee Lake, которая позволяет гостевой виртуальной машине красть секреты у гипервизора.

Атака получила название VMSCAPE (CVE-2025-40300). Главное отличие от предыдущих Spectre-подобных приёмов — здесь злоумышленнику не нужны никакие хитрые модификации кода, вроде инъекций. Всё работает в дефолтной конфигурации.

В статье «VMSCAPE: Exposing and Exploiting Incomplete Branch Predictor Isolation in Cloud Environments», которую представят на симпозиуме IEEE по безопасности и конфиденциальности, авторы показали, что атака успешно бьёт по KVM и QEMU.

На практике они сумели считать криптографический ключ для дискового шифрования: скорость утечки составила около 32 байт в секунду на AMD Zen 4, весь процесс занял чуть больше 12 минут.

 

Под удар попали AMD Zen от первого до пятого поколения и Intel Coffee Lake. Исправить это железом не получится, поэтому разработчики ядра Linux внедрили программные меры защиты. Но без потерь не обошлось: в ряде сценариев падение производительности достигает 10%, хотя для Zen 4 замедление почти незаметное — около 1%.

 

VMSCAPE эксплуатирует недостаточное разделение предсказателей переходов между гостем и хостом. В результате происходит утечка из одной среды в другую. Для атаки используется новый приём vBTI — virtualization Branch Target Injection.

Как утверждают в Intel, уже существующие механизмы защиты от Spectre v2 (IBRS, IBPB и другие) помогают закрыть дыру, и вместе с сообществом Linux компания готовит обновления. AMD пообещала выпустить собственные патчи.

В качестве основной меры защиты предложено включение «IBPB before exit to userspace» — обновлённая версия подхода «IBPB-on-VMExit». Насколько это ударит по производительности, зависит от того, как часто виртуалка обращается к пользовательскому пространству: для эмулированных устройств накладные расходы ощутимее, чем для виртуализированных.

В любом случае патч будет активен на всех затронутых системах, включая новые AMD Zen 5 и даже свежие Intel-процессоры, которые напрямую уязвимы не были.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Microsoft убирает антивирусы из ядра Windows после сбоя CrowdStrike
Новость
Microsoft убирает антивирусы из ядра Windows после сбоя Crow...
В KUMA 4.0 появился ИИ для выявления атак с подменой DLL-библиотек
Новость
В KUMA 4.0 появился ИИ для выявления атак с подменой DLL-биб...
Сеть дискаунтеров Доброцен парализована атакой
Новость
Сеть дискаунтеров Доброцен парализована атакой

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.