ул.Каля Орхеюлуй 20/1, Кишинёв МД-2059
Пн-Пт : 10.00-19.00 / Суб : 10.00-15.00 / Вс : выходной
(+373) 68 228 989

Вирусы, которые живут только в оперативной памяти


Зоопарк всевозможных вирусов растет с каждым годом, благо фантазии их создателям не занимать. Конечно, с рядом самых распространенных зловредов успешно справляются антивирусы, притом даже бесплатные их версии или же встроенные в саму ОС. С популярными шифровальщиками тоже худо-бедно бороться научились (на сайтах известных антивирусных компаний есть раздел с услугами по расшифровке или генерации кода, если вам известен кошелек или email, на который авторы зловреда просят перевести средства).

Обычные вирусы оставляют следы на зараженной машине — какие-нибудь подозрительные исполняемые файлы, файлы библиотек или просто огрызки зловредного кода, которые в состоянии обнаружить антивирус или же правильный админ. Нахождение и выявление таких следов помогают идентифицировать вирус, а значит – удалить его и минимизировать последствия.

Но противостояние меча и щита — штука вечная, и компьютерные зловреды не ограничиваются только теми, что оставляют какие-то следы на накопителях. Ведь если вирус размещается и действует только внутри оперативной памяти, не соприкасаясь с жестким диском или SSD, значит, следов на них он тоже не оставит.

 В 2014 году был ряд новостей о так называемых RAM malware, но тогда это относилось к довольно узкой группе поражаемых устройств — к платежным терминалам.

Данные транзакций считаются защищенными, так как хранятся в зашифрованном виде на серверах платежных систем. Но существует очень короткий период времени, в течение которого информация для авторизации платежа хранится в виде plain text. Причем хранится именно в оперативной памяти платежного терминала.

Само собой, хакерам этот кусок показался слишком лакомым, чтобы просто так пройти мимо него, и на свет появились зловреды, собирающие информацию из RAM POS-терминалов — номера карт, адреса, коды безопасности и имена пользователей.

А затем кто-то решил пойти дальше, вспомнив, что у компьютеров тоже есть оперативная память.

RAM-only

Февраль 2017 года, компания «Лаборатория Касперского» выпускает материал о том, что подобный зловред поразил компьютеры в телекоммуникационных компаниях, банках и правительственных учреждениях в 40 странах.

Как проходит заражение машины в таком случае:

  • зловред прописывает себя непосредственно в оперативную память, минуя жесткие диски
  • из-за этого при проверке безопасности его не получается обнаружить
  • для прописывания зловреда в память злоумышленники использовали популярные средства администрирования — PowerShell, Mimikatz, Metasploit
  • для передачи данных использовались сайты, созданные на национальных доменах таких стран как Габон, Центральноафриканская Республика и Мали. Их домены характерны тем, что они не сохраняют WHOIS-информацию о том, кому принадлежал конкретный домен, после истечения срока его продления. То есть еще минус одна возможность как-то отследить злоумышленника.

Киберпреступники успевали собрать данные о логинах и паролях системных администраторов, что позволяло в будущем администрировать зараженный хост. И понятно, что при такой возможности управления зараженным компьютером, можно наделать много не самых законных действий, но главное направление таких атак — это «дойка» банкоматов.

Найти такие вирусы трудно, потому что в привычном виде они на самом деле не оставляют следов. Нет каких-то установленных приложений. Нет отдельных файлов, раскиданных в разных папках, включая системные или скрытые.

Но где-то же они оставляют следы?

Само собой, если вирус не оставляет следов на накопителях, на них нет и особого смысла искать. И что тогда? Правильно — реестр, дампы памяти и сетевая активность. Надо же ему как-то прописать себя в память (причем так, чтобы сохранять работоспособность и после перезагрузки машины), а затем как-то передавать данные на сервер злоумышленника.

Специалисты “Лаборатории Касперского” тщательно проанализировали дампы памяти и записи реестра с машин, подвергшихся заражению, и с помощью Mimikatz и Meterpreter смогли реконструировать атаку.

Фрагмент кода, загруженного с помощью Meterpreter с сайта adobeupdates.sytes[.]net

Скрипт, сгенерированный фреймворком Metasploit. 

Выделяет необходимое количество памяти, использует WinAPI и загружает утилиту Meterpreter прямо в оперативную память.

Стоит ли опасаться подобного

С одной стороны – безусловно да. Вирус, каким бы он ни был, направлен не на то, чтобы сделать вашу работу за компьютером более комфортной. 

С другой стороны, не так сильно (пока не так сильно), как обычных вирусов и тех же шифровальщиков. Хотя бы потому, что на данный момент главная цель подобных атак — финансовые учреждения, а не обычные пользователи.

Но кто знает, как часто таких зловредов будут создавать и использовать уже в ближайшее время.



Все Новости
С момента своего появления, компьютерная клавиатура постоянно развивалась и эволюционировала, однако, не смотря ни на что, самым популярным её вариантом остаётся именно тот, который много лет назад был позаимствован у пишущей машинки. Предлагаем вашему вниманию небольшой экскурс в историю этого устройства, которое так слабо поддаётся влиянию времени и вряд ли изменится в обозримом будущем.
Оперативная память это как деньги. Или как свободное время. Ну, в смысле, расходится на все подряд и всегда ее не хватает. В общем, здесь действует то же правило: чем больше тем лучше. И даже если ваш ПК довольно средненький по ТТХ, с оперативкой, например, на 8 гигабайт, то переход на 12 гигабайт такой же средненькой памяти скрасит вам жизнь весьма ощутимо. А вообще, в плане памяти есть два основных способа сделать так, чтобы использование компьютера приносило максимум радости:
Для кого-то флешка важный компаньон в повседневных делах, а кто-то считает эти устройства расходным материалом. Каждый по-своему прав. Хотя, вторая категория пользователей может быть разделена ещё на две те, кто действительно прав и те, кто, всё-таки, ошибается. Почему? Рассказываем в статье.
Качественный SSD раскрывает потенциал любого ноутбука. Хорошо, если он установлен сразу, а если нет? Разбираемся с разными вариантами твердотельных накопителей и определяем, какой из них лучше подходит для апгрейда мобильного компьютера.
Одна из важнейших частей ноутбука аккумуляторная батарея. Именно от нее зависит, насколько вы будете привязаны к розетке. Современные компьютеры PC 2.0 используют технологии, которые позволяют совместить, казалось бы, несовместимое: продолжительную автономную работу и мобильность. Более подробно в статье.
Свежие обновления Windows 10 заставляют наши компьютеры работать все быстрее, но что если рабочий процесс требует от них чего-то более прочного? Для таких требований защищенные ноутбуки могут стать отличным решением. В поисках лучших представителей этой породы были просмотрены горы вариантов и выбраны лучшие ноутбуки, способные выдержать самые жесткие условия эксплуатации на Земле и способные справиться с любыми задачами, которые от них может потребовать пользователь.
В течение последних пятидесяти лет производители аккумуляторов и учёные со всего мира вынуждены искать баланс между мощностью аккумулятора и безопасностью его использования: при превышении допустимой нагрузки литий может взорваться.
Фантасты всегда мечтали о том, чтобы дисплей был тонкий и гибкий, как бумага, с качеством изображения, как у хорошей цветной фотографии. Увы, технологии безнадежно отставали от человеческого воображения. Однако в последние годы нам время от времени показывают на выставках всё более совершенные концепты, обещая скоро наладить массовое производство. И хотя мы пока не можем обернуть смартфон вокруг запястья, но какая-то история у гибких дисплеев уже есть, и мы решили её вспомнить.