Эксперты по вопросам информационной безопасности из компании Clear Hat Consulting разработали прототип руткита, который использует для маскировки особенности конструкции современных процессоров.
Руткиты представляют собой специализированные наборы средств, призванные скрывать последствия взлома и прятать используемые злоумышленниками инструменты от пользователя и других программ. Руткит нового типа, как сообщает PC World, использует так называемый режим системного управления (System Management Mode, SMM) центральных процессоров. Этот режим предназначен, в первую очередь, для реализации системы управления энергопотреблением, хотя может применяться и в иных целях. После активации SMM состояние регистров процессора сохраняется в специальной выделенной области физической памяти (System Management RAM), изолированной от операционной системы и приложений.
Специалисты Clear Hat Consulting объясняют, что использование режима SMM и изолированной памяти существенно затрудняет обнаружение руткита. Между тем, злоумышленники могут незаметно воровать конфиденциальные данные и получать доступ к информации, хранящейся в оперативной памяти компьютера. Так, например, прототип руткита, созданный в Clear Hat Consulting, способен перехватывать данные, вводимые при помощи клавиатуры. Таким образом, киберпреступники теоретически могут воровать пароли и коды доступа к тем или иным онлайновым сервисам. Сотрудники Clear Hat Consulting планируют продемонстрировать свой руткит в действии на предстоящей хакерской конференции Black Hat, которая будет проходить в Лас-Вегасе (Невада, США) в августе.
Нужно заметить, что ранее уже создавались руткиты, работающие вне операционной системы. Так, около года назад Джоанна Рутковска, известный специалист по руткитам и одна из основательниц компании Invisible Things Labs, заявила о разработке руткита, использующего для маскировки на ПК жертвы технологии виртуализации. Такой набор вредоносных инструментов позволяет захватить полный контроль над удаленным компьютером, оставаясь незамеченным.
