Немецкие ИТ-специалисты говорят о новом типе атак

Патрик Стьюин и Илья Быстров из FGSect при Техническом университете Берлина рассказали, что ими была создана реально работающая концептуальная модель вредоносного ПО для размещения в памяти периферийных устройств, а также модель сенсора, способного находить эту и ей подобные угрозы. По словам специалистов, опасность данной разработки заключается в том, что она может атаковать и похищать данные из выделенных сервисов, через систему DMA (Direct Memory Access), передает "CyberSecurity".

Исследователи говорят, что ими был создан демо-вредонос Dagger, нацеленный на runtime-память, до которой вредонос мог добраться через сегмент DMA, выделяемый компьютером для работы аппаратных устройств, таких как графические чипы или сетевые карты. По их словам, такие угрозы практически невозможно обнаружить современными антивирусами. Более того, нет никаких гарантий, что такие подходы ранее не были использованы реальными хакерами.

Dagger способен атаковать как 32-, так и 64-битные Windows- и Linux-системы, а кроме того он может обходить встроенный в ОС механизм радомизации адресов в памяти. Немецкие эксперты говорят, что изначально они начали создавать Dagger в качестве кейлоггера или клавиатурного шпиона, но недавно добавили в него новый функционал и теперь он способен атаковать через runtime-память, напрямую получая доступ к информации, находящейся в памяти компьютера.

"DMA-вредоносы и соответствующие атаки могут быть запущены с периферийных устройств и способны полностью скомпрометировать компьютер, без использования каких-либо уязвимостей в операционной системе. С нашей точки зрения, это критическая уязвимость сама по себе, на сегодня ни одна операционная система не имеет механизмов обнаружения DMA-атак с периферийных устройств", — говорит Стьюин.

Данные исследования финансировало правительство Германии, которое на волне скандалов с АНБ США уже заказало для собственных нужд разработку детекторов DMA-вредоносов у немецких программистов. Стьюин говорит, что на сегодня они разработали сенсор, способный зафиксировать наличие Dagger и ему подобных вредоносов. Также он сказал, что DMA-вредоносы и сенсоры для них — это чрезвычайно компактные коды, которые не влияют на реальную производительность компьютера.