Новая утилита позволяет реконструировать атаки, которые не оставляют следов на жестких дисках
27.07.2009
Определенные типы атак, которые не оставляют следов на жестких дисках компьютеров, теперь можно будет отследить при помощи новой утилиты, презентация которой состоится на следующей неделе в рамках конференции Black Hat в Лас-Вегасе.
Исследователи Mandiant продемонстрируют способ, с помощью которого можно будет собрать по кусочкам улики, оставленные в результате вредоносной активности, инициатором которой мог стать код выполняемый исключительно в памяти, и позволяющий таким образом, остаться незамеченным при традиционном анализе дисков.
Утилита для исследования памяти, авторами которой являются Питер Зильберман и Стив Дэвис, в частности обнаруживает следы, оставленные Meterpreter, одним из программных модулей открытого комплекса Metasploit, предназначенного для проведения тестов на проникновение.
Meterpreter может быть внедрен в один из запущенных на компьютере жертвы обычных процессов, избегая таким образом обнаружения со стороны хостовых систем предотвращения вторжений. Впоследствии его можно использовать в качестве платформы для проведения дальнейших атак.
Используя адаптированную версию коммерческой утилиты Memoryze от Mandiant, эксперты смогли осуществить разбор дескрипторов VAD в Windows. Их утилита анализирует структуру протоколов, которые Meterpreter использует для связи со своим сервером, позволяя таким образом установить, какая атака имела место. Кроме того, наличие сброшенных хешей может свидетельствовать о том, что во время нападения были скомпрометированы пароли.
