Nemesis — продвинутый буткит для кражи данных

Обсуждение в разделе «Защита ОС: антивирусы, фаерволы, антишпионы», начал(-а) Turanchocks_, 10.12.2015.

  1. Turanchocks_

    Turanchocks_ Member

    Регистрация:
    11.05.2013
    Сообщения:
    575
    Одобрения:
    752
    Репутация:
    6
    Аналитики из калифорнийской компании FireEye, специализирующиеся на вопросах сетевой безопасности, опубликовали результаты изучения семейства новых вредоносных программ. Обнаруженный ими буткит «Немезида» и связанные с ним компоненты – это целая платформа, скрыто работающая на низком уровне. Она загружается до Windows, благодаря чему избегает обнаружения при обычном сканировании файловой системы.

    Ещё в сентябре принадлежащая FireEye группа Mandiant Consulting обнаружила новый буткит, ориентированный на кражу и подмену финансовых данных. Он способен осуществлять скрытую передачу файлов, делать скриншоты экрана, выполнять функции клавиатурного шпиона, внедряться в системные процессы и планировать отложенные операции. Особенность состояла в том, что антивирусные средства обратившихся в FireEye клиентов не могли его удалить, а использование безопасного режима не влияло на его работоспособность.

    В своём исследовании специалисты FireEye описывают буткит, прерывающий классическую последовательность загрузки [MBR] -> [BS] -> [загрузчик ОС] на уровне второго компонента цепочки. Анализ показал, что основной вредоносный компонент Nemesis представляет собой тонкий гипервизор, который внедряется в загрузочную запись тома (Volume Boot Record — VBR) и сохраняет код остальных файлов троянца в неразмеченной области диска (unallocated space). Nemesis использует встроенные средства виртуализации процессоров x86 и x86-64. Фактически он запускает установленную ОС как виртуальную машину и полностью контролирует её.

    Присутствующие в коде и метаданных кириллические символы стали основанием для утверждения, что за Nemesis стоят «русские хакеры». Авторами «Немезиды» называется группа FIN1 (не запрещена в России). Сейчас на Западе больше них боятся только ИГИЛ (запрещена в России).

    Более подробно на http://www.computerra.ru/136827/nemesis-bootkit-analyses/
     
  2. ZodiaX

    ZodiaX Level 8

    Регистрация:
    7.05.2009
    Сообщения:
    490
    Одобрения:
    249
    Репутация:
    35
    Получается вырубив в биосе поддержку виртуализации и буткин нейтрализован)
    А вообще как то на грани фантастики...
     
    Это одобряет Turanchocks_.
  3. 0Err

    0Err New Member

    Регистрация:
    4.12.2015
    Сообщения:
    12
    Одобрения:
    3
    Репутация:
    0
    Идея не нова, даже в далеком 2012 слышал такое. Даже взять MBR вирусняк от Vazonez'a локающий систему был популярен в 2013-14 годах, работал не много иначе но принцип тот же.
     
    Это одобряет Turanchocks_.
  4. ZodiaX

    ZodiaX Level 8

    Регистрация:
    7.05.2009
    Сообщения:
    490
    Одобрения:
    249
    Репутация:
    35
    Само по себе использование MBR и перехват функций ОС не ново, а вот полная виртуализация контролируемой системы...
     
Загрузка...