HookSafe — защита от руткитов

...

Исследователи из университета Северной Каролины в содружестве с Майкрософт создали прототип виртуальной системы предотвращения вторжений, которая обеспечивает эффективную защиту ОС от руткитов режима ядра без заметных потерь в производительности.  Руткиты режима ядра маскируют свое присутствие и деятельность на зараженной машине, перехватывая системные функции и подменяя управляющую информацию на уровне ядра. Система HookSafe защищает гостевую ОС от несанкционированного доступа руткитов режима ядра, работая в режиме гипервизора. 

Прототип системы был протестирован в среде Ubuntu Linux 8.10, где было идентифицировано около 6 тыс. точек возможного перехвата, разбросанных по 40 физическим страницам. HookSafe успешно отразила атаки девяти известных руткитов, ориентированных на Linux. Семь из них потерпели неудачу при попытке инсталляции, а два, внедрившись в ядро, не смогли замаскироваться. Максимальное снижение производительности из-за присутствия гипервизора составило 6%.

Разработчики признают, что HookSafe — частичное решение проблемы, к тому же не лишенное недостатков. Система предотвращает только те атаки, которые она может распознать, поэтому база сигнатур указателей должна быть создана заранее. Самостоятельно локализовать нужные данные в пространстве ядра она не способна, они выявляются путем динамического анализа при прогоне незараженной версии ОС на эмуляторе. Этот метод несовершенен, так как часть указателей может быть упущена и не будет занесена в базу. В реальных условиях ситуация усугубится, когда усилится приток программных обновлений и новых драйверов. Кроме того, HookSafe защищает ядро, но не предотвращает запуск руткита.

Отчет о новой разработке был представлен на 16-й конференции ACM по компьютерной и сетевой безопасности (CCS 2009), недавно проведенной в Чикаго. Авторы проекта планируют продолжить исследования, сосредоточившись на тотальной защите ядра. Они также работают над версией HookSafe для Windows.

Источник 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Россия лидирует по числу сталкерских программ на смартфонах граждан

За первое полугодие 2020 года на смартфонах россиян эксперты обнаружили гораздо больше сталкерских приложений, чем за первые шесть месяцев 2019-го. По данным «Лаборатории Касперского», эта цифра увеличилась на 28%.

Stalkerware (так называют подобный софт зарубежные коллеги) давно вызывает споры среди специалистов в области кибербезопасности. Изначально такие программы не считались вредоносными, но сейчас всё больше экспертов склоняются к однозначной классификации сталкерского софта как зловредного.

Stalkerware успешно продаются через специальные сайты, а вот официальные магазины приложений стараются не размещать их на своих площадках. С помощью сталкерских программ можно просматривать медиафайлы жертвы и даже извлекать личные переписки.

Подобный софт часто используется супругами, которые хотят жёстко контролировать своих возлюбленных.

К сожалению, как выяснили исследователи «Лаборатории Касперского», Россия на сегодняшний день лидирует по количеству установленных на смартфонах граждан сталкерских приложений.

Но и остальной мир не отстаёт. За первые шесть месяцев 2020 года общее число stalkerware увеличилось на 39% в сравнении с прошлым годом. В Европе чаще всего жертвами такого шпионажа становятся пользователи из Италии, Германии и Великобритании.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru