HookSafe — защита от руткитов

Александр Панасенко 25 Ноября 2009 - 10:38

...

Исследователи из университета Северной Каролины в содружестве с Майкрософт создали прототип виртуальной системы предотвращения вторжений, которая обеспечивает эффективную защиту ОС от руткитов режима ядра без заметных потерь в производительности. Руткиты режима ядра маскируют свое присутствие и деятельность на зараженной машине, перехватывая системные функции и подменяя управляющую информацию на уровне ядра. Система HookSafe защищает гостевую ОС от несанкционированного доступа руткитов режима ядра, работая в режиме гипервизора.

Прототип системы был протестирован в среде Ubuntu Linux 8.10, где было идентифицировано около 6 тыс. точек возможного перехвата, разбросанных по 40 физическим страницам. HookSafe успешно отразила атаки девяти известных руткитов, ориентированных на Linux. Семь из них потерпели неудачу при попытке инсталляции, а два, внедрившись в ядро, не смогли замаскироваться. Максимальное снижение производительности из-за присутствия гипервизора составило 6%.

Разработчики признают, что HookSafe — частичное решение проблемы, к тому же не лишенное недостатков. Система предотвращает только те атаки, которые она может распознать, поэтому база сигнатур указателей должна быть создана заранее. Самостоятельно локализовать нужные данные в пространстве ядра она не способна, они выявляются путем динамического анализа при прогоне незараженной версии ОС на эмуляторе. Этот метод несовершенен, так как часть указателей может быть упущена и не будет занесена в базу. В реальных условиях ситуация усугубится, когда усилится приток программных обновлений и новых драйверов. Кроме того, HookSafe защищает ядро, но не предотвращает запуск руткита.

Отчет о новой разработке был представлен на 16-й конференции ACM по компьютерной и сетевой безопасности (CCS 2009), недавно проведенной в Чикаго. Авторы проекта планируют продолжить исследования, сосредоточившись на тотальной защите ядра. Они также работают над версией HookSafe для Windows.

Источник

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 13 Ноября 2025 - 11:10

Запрещенные сайты Нежелательные сайты Соответствие законодательству РФ Общее

В России установлен рекорд по блокировке вредоносных сайтов

В октябре в России было заблокировано 8254 вредоносных сайта — это в полтора раза больше, чем за тот же период прошлого года. Большую часть (около 6 тыс.) составили фишинговые ресурсы. Как отметил аналитик Координационного центра доменов .RU/.РФ Евгений Панков, их количество утроилось по сравнению с началом года.

Такую статистику привели «Известиям» в Координационном центре доменов .RU/.РФ.

«Рост активности мошенников напрямую связан с приближением массовых распродаж — таких, как “11.11”, к которой приурочено множество рекламных кампаний, и следующей за ней “черной пятницы”. В погоне за скидками пользователи теряют бдительность и чаще переходят по фишинговым ссылкам», — пояснил Евгений Панков.

Кроме того, злоумышленники активизировались в попытках «угнать» аккаунты в Telegram. По словам ведущего аналитика исследовательской группы Positive Technologies Яны Авезовой, применяемые ими методы становятся всё более изощрёнными.

Чаще всего используется схема с фейковыми подарками. Пользователям приходят сообщения с фишинговыми ссылками, обещающими бесплатную подписку Telegram Premium. Ссылки рассылаются с уже скомпрометированных аккаунтов, а переход по ним приводит к краже данных и потере профиля. Дизайн таких страниц тщательно копирует фирменный стиль Telegram. Кроме того, по словам Авезовой, злоумышленники всё чаще используют дипфейки — подделывают лица и голоса знакомых или сотрудников техподдержки, чтобы вызвать доверие.

Директор по развитию технологий ИИ компании Swordfish Security Юрий Шабалин подчеркнул, что киберпреступники активно применяют нейросетевые технологии. Они позволяют создавать точные копии легитимных сайтов, подделывать голоса и видео. По мере появления новых сервисов качество дипфейков растёт, и распознать их становится всё сложнее.

Член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор проекта «Цифровая Россия» Антон Немкин отметил, что ситуация усугубляется снижением порога входа на киберпреступный рынок. Этому способствует рост предложения готовых инструментов для фишинговых атак и развитие рынка сбыта похищенных данных.

По мнению Немкина, борьба с подобными угрозами не ограничивается действиями государства и профильных организаций — важную роль играет цифровая грамотность самих пользователей. Чтобы снизить риски, необходимо повышать их осведомлённость о фишинговых схемах и способах защиты от них.

HookSafe — защита от руткитов

Читайте также