Вредоносная программа осуществляет атаки через runtime-память, напрямую получая доступ к информации, находящейся в памяти компьютера.
Патрик Стьюин и Илья Быстров из FGSect при Техническом университете Берлина разработали новую вредоносную программу, жертвами которой становились 32- и 64-битные версии ОС Windows и Linux, и которая способна обойти ASLR-функционал. Эта вредоносная программа впервые появилась в прошлом году под названием DAGGER в качестве кейлоггера. Сейчас ее функционал был обновлен, и она способна осуществлять атаки через runtime-память, напрямую получая доступ к информации, находящейся в памяти компьютера.
Вся опасность разработки экспертов заключается в том, что она может атаковать и похищать данные из выделенных сервисов, через систему DMA (Direct Memory Access).
«Атаки через систему DMA, запущенные с периферийных устройств, способны скомпрометировать хост без эксплуатации уязвимостей в операционной системе, работающей на хосте», - отмечают специалисты. Более того, указывается, что в настоящее время ни одна операционная система не содержит механизмов, которые способны противостоять DMA-атакам.
Стоит отметить, что экспертам удалось разработать инструмент для обнаружения вредоносного ПО. Созданный сенсор, который получил название BARM, способен зафиксировать наличие Dagger и ему подобных вредоносных программ. При этом сенсор не влияет на скорость выполнения процессов на машине.
Более подробную информацию о Dagger и сенсоре для его обнаружения исследователи представят на 16-ом симпозиуме по вопросам кибератак, вторжений и нападений в октябре в Сент-Люсии.
Ладно, не доказали. Но мы работаем над этим