Не прошло и двух лет

Читаем статью с securitylab.ru от 4 августа: ИБ-эксперт Пол Раскагнерес (Paul Rascagneres) сообщил о редкой разновидности вредоносного ПО, названного Poweliks, которое инфицирует системы и похищает данные без установки файлов. Оно локализируется исключительно в реестре компьютера, поэтому вредонос весьма сложно обнаружить. Заражение происходит через открытие вредоносного документа Microsoft Word. Сначала создается скрытый зашифрованный ключ реестра, а затем выполняются шелл-код и полезная нагрузка. «Вся активность происходит в реестре. Никакие файлы не создаются,- сообщил Раскагнерес. – Таким образом злоумышленники могут обойти классические технологии сканирования файлов и, проникнув в глубокий слой [машины], могут осуществлять любые действия даже после перезагрузки системы». По словам эксперта, для того, чтобы предотвратить подобные атаки, антивирусные решения должны перехватить вредоносный документ Microsoft Word еще до того, как он попал в электронный почтовый ящик пользователя, и не допустить его выполнения. Windows Regedit не может прочитывать или открывать входы, которые осуществляются с помощью ключа, зашифрованного не в ASCII. Microsoft использует эту особенность для предотвращения копирования исходного кода. Тем не менее, ранее эта функция была взломана. Для того чтобы обезопасить себя, пользователи могут использовать инструменты безопасности, способные обнаружить эксплоит, а также проверять реестр на наличие подозрительной активности. Английский первоисточник — запись от 31 июля в блоге G-Data. Там написано, что впервые механизм работы был описан на форуме kernelmode.info. При чтении заголовка возникла мысль — когда-то что-то подобное про вредонос в реестре без тела в файле уже публиковалось. И точно — некто Олексюк Дмитрий aka Cr4sh выступил на конференции ZeroNights 2012 c докладом про то, как может быть устроен Windows руткит режима ядра для целевых атак. Для хранения вредоносного кода решено было использовать параметры системного реестра, и реализовать руткит таким образом, что бы на стадии установки в систему, кроме нескольких параметров реестра, он ничего не модифицировал. В блоге Cr4sh позже появилась соответствующая запись, где была даже ссылка на исходники. Интересный вопрос — а чего так долго тянули-то? Ну в смысле, что в реестре тело хранить можно?  Правда тут никакими руткитами и не пахнет, но тем не менее.

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s