Немецкие IT-специалисты сообщают о вирусе, похищающем данные через DMA

Патрик Стьюин и Илья Быстров из FGSect при Техническом университете Берлина разработали новый malware, жертвами которой становились 32- и 64-битные версии ОС Windows и Linux, и которая способна обойти ASLR-функционал. Эта вредоносная программа впервые появилась в прошлом году под названием DAGGER в качестве кейлоггера. Сейчас ее функционал был обновлен, и она способна осуществлять атаки через runtime-память, напрямую получая доступ к информации, находящейся в памяти компьютера.

Вся опасность разработки экспертов заключается в том, что она может атаковать и похищать данные из выделенных сервисов, через систему DMA (Direct Memory Access).

«Атаки через систему DMA, запущенные с периферийный устройств, способны скомпрометировать хост без эксплуатации уязвимостей в операционной системе, работающей на хосте», — отмечают специалисты. Более того, указывается, что в настоящее время ни одна операционная система не содержит механизмов, которые способны противостоять DMA-атакам.

Стоит отметить, что экспертам удалось разработать инструмент для обнаружения вредоносного ПО. Созданный сенсор, который получил название BARM, способен зафиксировать наличие Dagger и ему подобных вредоносных программ. При этом сенсор не влияет на скорость выполнения процессов на машине.

Более подробную информацию о Dagger и сенсоре для его обнаружения исследователи представят на 16-ом симпозиуме по вопросам кибератак, вторжений и нападений в октябре в Сент-Люсии.