HookSafe — защита от руткитов

...

Исследователи из университета Северной Каролины в содружестве с Майкрософт создали прототип виртуальной системы предотвращения вторжений, которая обеспечивает эффективную защиту ОС от руткитов режима ядра без заметных потерь в производительности.  Руткиты режима ядра маскируют свое присутствие и деятельность на зараженной машине, перехватывая системные функции и подменяя управляющую информацию на уровне ядра. Система HookSafe защищает гостевую ОС от несанкционированного доступа руткитов режима ядра, работая в режиме гипервизора. 

Прототип системы был протестирован в среде Ubuntu Linux 8.10, где было идентифицировано около 6 тыс. точек возможного перехвата, разбросанных по 40 физическим страницам. HookSafe успешно отразила атаки девяти известных руткитов, ориентированных на Linux. Семь из них потерпели неудачу при попытке инсталляции, а два, внедрившись в ядро, не смогли замаскироваться. Максимальное снижение производительности из-за присутствия гипервизора составило 6%.

Разработчики признают, что HookSafe — частичное решение проблемы, к тому же не лишенное недостатков. Система предотвращает только те атаки, которые она может распознать, поэтому база сигнатур указателей должна быть создана заранее. Самостоятельно локализовать нужные данные в пространстве ядра она не способна, они выявляются путем динамического анализа при прогоне незараженной версии ОС на эмуляторе. Этот метод несовершенен, так как часть указателей может быть упущена и не будет занесена в базу. В реальных условиях ситуация усугубится, когда усилится приток программных обновлений и новых драйверов. Кроме того, HookSafe защищает ядро, но не предотвращает запуск руткита.

Отчет о новой разработке был представлен на 16-й конференции ACM по компьютерной и сетевой безопасности (CCS 2009), недавно проведенной в Чикаго. Авторы проекта планируют продолжить исследования, сосредоточившись на тотальной защите ядра. Они также работают над версией HookSafe для Windows.

Источник 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft изучает баги обновления Windows 10 KB4556799 (BSOD, аудиобаги)

Microsoft изучает проблемы с выпущенным недавно обновлением Windows 10 под номером KB4556799. Напомним, что установившие апдейт пользователи жаловались на BSOD, баги с аудио и проблемы с производительностью.

С самого выпуска KB4556799 (12 мая 2020 года) на соответствующих онлайн-площадках появились жалобы на ошибки при установке обновления. Уже позже добавились упоминания BSOD, проблем со звуком и так далее.

Microsoft в конечном итоге признала наличие багов, отметив, что в настоящее время специалисты изучают проблемы и пытаются устранить их. Также корпорация просит любого, кто столкнулся с некорректной работой операционной системы или её компонентов, как можно быстрее уведомить о них разработчиков.

На сегодняшний день ситуация с постоянно забагованными апдейтами Windows 10 выглядит скверно. За последние года два сложно припомнить хоть одно беспроблемное обновление от разработчиков из Microsoft.

Не стоит забывать, что на этой неделе должна выйти Windows 10 2004 (сейчас можно попробовать тестовую версию). Наверняка этот крупный апдейт также не обойдётся без багов. Именно поэтому будьте внимательны и не торопитесь с установкой.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru