Сделанный SMM-руткит (System Management Mode - Режим системного управления) работает исключительно в защищенной части памяти компьютера, которая может быть закрытой и в процессе работы оставаться невидимой для операционной системы. Но нахождение кода в этом секторе памяти дает атакующему полную картину того, что происходит данный момент времени в оперативки компьютера.
По словам Шона Эмбелтона и Шерри Спаркс, исследователей из Clear Hat Consulting создавших код, SMM-руткит имеет смысл оснащать функциями клавиатурного шпиона, снаряженного коммуникационными способностями.
С помощью таковой связки ПО злодей может похищать индивидуальные данные с компьютера-жертвы.
В Clear Hat Consulting молвят, что концептуальный модуль, способный работать по описанным принципам, они покажут в августе этого года на ИТ-конференции Black Hat в Лас-Вегасе (Невада, США).
Разработчики молвят, что практически все руткиты, сделанные за ближайшее время, прибегают к разным уловкам для того, чтоб избежать обнаружения в компьютерах, но большая часть руткитов в любом случае работают в среде операционной системы, что позволяет найти их антивирусными средствами, работающими в той же ОС. Но в последние несколько месяцев исследователи заговорили о способности сотворения злонамернного ПО, работающего "над ОС". К примеру, не так давно был показан руткит BluePhil, использующий для маскировки серверную аппаратную технологию виртуализации AMD, Symantec сказала об обнаружении злостного ПО, прячущегося в загрузочном секторе компов, а антивирусные компании одна за одной молвят о возникновении новых троянов и вирусов, применяющих те либо другие трюки с системами виртуализации, чтоб доставать данные из виртуализованных ОС.
"Руткиты все почаще обращаются к аппаратной части компов и в этом есть своя логика, чем поглубже в систему вы проникаете, тем больше способностей получаете и тем труднее вас становится найти", - гласит Шерри Спаркс.
Он отмечает, что в отличие от кода BluePhil, использующего новые и нераспространенные системы виртуализации, их разработка употребляет систему SMM, которая существует в компьютерах со времен возникновения поздних 386-х микропроцессоров. Режим системного управления SMM сначало был сотворен компанией Intel для того, чтоб производители аппаратного обеспечения могли обнаруживать ошибки в работе собственных товаров с помощью программного обеспечения. Также эта разработка употребляется для управления режимами работы компьютера, к примеру для перевода системы в спящий режим.
По воззрению Джона Хисмана, директора по новым технологиям в компании NGS Software, в этом случае, если на Black Hat будет вправду показан работающий руткит, способный как-либо эмулировать режим SMM и эксплуатировать эту возможность в собственных целях, то этот момент станет еще одним витком в развитии вредного ПО, потому что современные антивирусы просто не сумеют найти таковой код.
"В 2006 году исследователь Лючок Дюфо в первый раз представил маленький перехватчик, способный работать с SMM, стопроцентно обойдя все политики безопасности ОС. Мы взяли эту концепцию, развили и дополнили ее кодами, позволяющими производить удаленное администрирование машиной", - ведает Эмбелтон.
Для того, чтоб руткит в режиме SMM вправду работал исследователям пришлось написать также и системный драйвер для него.
Но создатели разработки молвят, что их система навряд ли получит глобальное распространение из-за очень жесткой привязки к определенному оборудованию, но для нацеленных заказных взломов эта концепция полностью может быть применена.
ужс я даже не могу представить как это больно 