Определенные типы атак, которые не оставляют следов на жестких дисках
компьютеров, теперь можно будет отследить при помощи новой утилиты, презентация
которой состоится на следующей неделе в рамках конференции Black Hat в
Лас-Вегасе.
Исследователи Mandiant продемонстрируют способ, с помощью которого можно
будет собрать по кусочкам улики, оставленные в результате вредоносной
активности, инициатором которой мог стать код выполняемый исключительно в
памяти, и позволяющий таким образом, остаться незамеченным при традиционном
анализе дисков.
Утилита для исследования памяти, авторами которой являются Питер Зильберман и
Стив Дэвис, в частности обнаруживает следы, оставленные Meterpreter, одним из
программных модулей открытого комплекса Metasploit, предназначенного для
проведения тестов на проникновение.
Meterpreter может быть внедрен в один из запущенных на компьютере жертвы
обычных процессов, избегая таким образом обнаружения со стороны хостовых систем
предотвращения вторжений. Впоследствии его можно использовать в качестве
платформы для проведения дальнейших атак.
Используя адаптированную версию коммерческой утилиты Memoryze от Mandiant,
эксперты смогли осуществить разбор дескрипторов VAD в Windows. Их утилита
анализирует структуру протоколов, которые Meterpreter использует для связи со
своим сервером, позволяя таким образом установить, какая атака имела место.
Кроме того, наличие сброшенных хешей может свидетельствовать о том, что во время
нападения были скомпрометированы пароли.