В прятки с мистером Бондом

Андрей Семенюченко

Спецвыпуск: Хакер, номер #070, стр. 070-046-8

[социальная инженерия]

В пользу активного распространения червей Feebs и Scano сыграл тот факт, что пользователи еще не привыкли к тому, что в html-файлах могут содержаться вирусы. Простые юзеры до сих пор считают, что все вирусы распространяются в exe-файлах и документах формата .doc. Налицо факт социальной инженерии, используемый хакерским сообществом с целью более интенсивного распространения зловредов.

[руткиты нового поколения]

Хакеры изобретают все новые и новые лазейки и технологии. Поэтому до последнего времени они были на шаг впереди любой антивирусной компании. Гонка вооружений продолжается и сейчас. В антивирусы встраивают мощные проактивные технологии, позволяющие детектировать даже угрозы типа “0-day”. Но, чтобы бороться с хакерами, нужно мыслить, как хакеры, действовать, как хакеры. Для этого многие компании, специализирующиеся на IT-безопасности, сами проводят исследования по возможности взлома систем, чтобы быть готовыми к защите от новых угроз. Одной из новейших разработок компании eEye Digital Security стало создание бэкдора в загрузочном секторе винчестера, который может получить управление еще до запуска операционки. Сам понимаешь, что подобная возможность позволит бэкдору подменить многие системные вызовы операционной системы. Компания Next-Generation Security провела работу, результатом которой было создание руткита во флэш-памяти BIOS. Создание такого руткита возможно через функции по управлению электропитанием компьютера ACPI, а обнаружение такого зловреда весьма затруднительно. Microsoft также не отстает от коллег по цеху и спонсирует довольно интересный проект, разрабатываемый университетом штата Мичиган. Ребята пытаются реализовать проект руткита, работающего ниже уровня операционной системы. Для этого на жесткий диск сначала устанавливается так называемый монитор виртуальных машин, который уже загружает операционку. Таким образом, поскольку управление от BIOS сначала попадает к нему, то монитор может выполнять любые действия как до, так и после загрузки оси. Теоретически антивирусу внутри операционной системы будет просто невозможно обнаружить руткиты и зловреды на уровне монитора виртуальных машин. Однако в глаза бросается очевидная возможность обнаружить неладное другими способами, например, простой проверкой диска на другом компьютере.

[это все?]

Итак, как ты видишь, в интернете идет настоящая информационная война. Кто выйдет победителем — покажет время. Мы же должны обладать достаточной и полной информацией, чтобы вовремя среагировать даже на скрытые угрозы.