Вирусы, которые живут только в оперативной памяти

    Привет, GT! Зоопарк всевозможных вирусов растет с каждым годом, благо фантазии их создателям не занимать. Конечно, с рядом самых распространенных зловредов успешно справляются антивирусы, притом даже бесплатные их версии или же встроенные в саму ОС. С популярными шифровальщиками тоже худо-бедно бороться научились (на сайтах известных антивирусных компаний есть раздел с услугами по расшифровке или генерации кода, если вам известен кошелек или email, на который авторы зловреда просят перевести средства).

    Обычные вирусы оставляют следы на зараженной машине — какие-нибудь подозрительные исполняемые файлы, файлы библиотек или просто огрызки зловредного кода, которые в состоянии обнаружить антивирус или же правильный админ. Нахождение и выявление таких следов помогают идентифицировать вирус, а значит – удалить его и минимизировать последствия.

    Но противостояние меча и щита — штука вечная, и компьютерные зловреды не ограничиваются только теми, что оставляют какие-то следы на накопителях. Ведь если вирус размещается и действует только внутри оперативной памяти, не соприкасаясь с жестким диском или SSD, значит, следов на них он тоже не оставит.



    В 2014 году был ряд новостей о так называемых RAM malware, но тогда это относилось к довольно узкой группе поражаемых устройств — к платежным терминалам.

    Данные транзакций считаются защищенными, так как хранятся в зашифрованном виде на серверах платежных систем. Но существует очень короткий период времени, в течение которого информация для авторизации платежа хранится в виде plain text. Причем хранится именно в оперативной памяти платежного терминала.

    Само собой, хакерам этот кусок показался слишком лакомым, чтобы просто так пройти мимо него, и на свет появились зловреды, собирающие информацию из RAM POS-терминалов — номера карт, адреса, коды безопасности и имена пользователей.

    А затем кто-то решил пойти дальше, вспомнив, что у компьютеров тоже есть оперативная память.

    RAM-only


    Февраль 2017 года, компания «Лаборатория Касперского» выпускает материал о том, что подобный зловред поразил компьютеры в телекоммуникационных компаниях, банках и правительственных учреждениях в 40 странах.



    Как проходит заражение машины в таком случае:


    • зловред прописывает себя непосредственно в оперативную память, минуя жесткие диски
    • из-за этого при проверке безопасности его не получается обнаружить
    • для прописывания зловреда в память злоумышленники использовали популярные средства администрирования — PowerShell, Mimikatz, Metasploit
    • для передачи данных использовались сайты, созданные на национальных доменах таких стран как Габон, Центральноафриканская Республика и Мали. Их домены характерны тем, что они не сохраняют WHOIS-информацию о том, кому принадлежал конкретный домен, после истечения срока его продления. То есть еще минус одна возможность как-то отследить злоумышленника.

    Киберпреступники успевали собрать данные о логинах и паролях системных администраторов, что позволяло в будущем администрировать зараженный хост. И понятно, что при такой возможности управления зараженным компьютером, можно наделать много не самых законных действий, но главное направление таких атак — это «дойка» банкоматов.

    Найти такие вирусы трудно, потому что в привычном виде они на самом деле не оставляют следов. Нет каких-то установленных приложений. Нет отдельных файлов, раскиданных в разных папках, включая системные или скрытые.

    Но где-то же они оставляют следы?


    Само собой, если вирус не оставляет следов на накопителях, на них нет и особого смысла искать. И что тогда? Правильно — реестр, дампы памяти и сетевая активность. Надо же ему как-то прописать себя в память (причем так, чтобы сохранять работоспособность и после перезагрузки машины), а затем как-то передавать данные на сервер злоумышленника.

    Специалисты “Лаборатории Касперского” тщательно проанализировали дампы памяти и записи реестра с машин, подвергшихся заражению, и с помощью Mimikatz и Meterpreter смогли реконструировать атаку.


    Фрагмент кода, загруженного с помощью Meterpreter с сайта adobeupdates.sytes[.]net



    Скрипт, сгенерированный фреймворком Metasploit.
    Выделяет необходимое количество памяти, использует WinAPI и загружает утилиту Meterpreter прямо в оперативную память.


    Стоит ли опасаться подобного


    С одной стороны – безусловно да. Вирус, каким бы он ни был, направлен не на то, чтобы сделать вашу работу за компьютером более комфортной.

    С другой стороны, не так сильно (пока не так сильно), как обычных вирусов и тех же шифровальщиков. Хотя бы потому, что на данный момент главная цель подобных атак — финансовые учреждения, а не обычные пользователи.

    Но кто знает, как часто таких зловредов будут создавать и использовать уже в ближайшее время.



    Напоминаем, что весна — отличный повод обновляться не только листочкам на деревьях, но и системным блокам у вас под столом. Специально для этого у Kingston действуют акции в магазинах-партнерах. Например, в сети DNS до 15 апреля можно со скидкой купить оперативную память Kingston SO-DIMM, подробности — здесь. В Юлмарте до 18 апреля проходит акция и действуют специальные цены на модули памяти Kingston и HyperX для компьютеров и ноутбуков по промокоду KINGMEM. А в магазинах Ситилинк до 7 апреля скидки распространяются сразу на несколько видов оперативки, и там также важно не забывать вводить промокод — DDR3HX. Так что есть смысл поспешить за новой памятью и выгодно обновиться.

    Для получения дополнительной информации о продукции Kingston и HyperX обращайтесь на официальный сайт компании.
    Kingston Technology
    95,00
    Компания
    Поделиться публикацией

    Комментарии 25

      +6
      популярные средства администрирования — PowerShell, Mimikatz, Metasploit

      Когда это Metasploit стал средством для администрирования? Разве что администрирования чужих систем.
        0

        Я наверное не очень представляю, как устроен терминал, но по моему plain text до основного процессора доходить никак не должен. На клавиатуре, считывателе стоят микроконтролеры с флешовой прошивкой, к которым центральный процессор никак доступа не имеет. Ему они отдают уже шифрованные данные. Сам делал очень давно для игрового автомата прошивку. Общение с юзером на тогда еще атМега было, связь с основным процессором — uart, по нему поток с aes128. Я е спец в безопасности, ногами не пинать пожалуйста, но пихать в ОЗУ центрального процессора нешифрованные данные это какое то безумие

          0
          процессору что шифрованные данные, что нет — все plain-text. вот только если надо валидность проверять то придется дешифровать, не в виде хешей же данные там хранятся.
            0
            А как процессору работать с шифрованными данными? По идее шифрованные данные он может либо удалить, либо скопировать, либо испортить, но работать с ними без дешифровки не способен.
              0

              Иногда с шифрованными данными можно (ограничено) работать: https://en.wikipedia.org/wiki/Homomorphic_encryption = https://ru.wikipedia.org/wiki/Гомоморфное_шифрование


              Homomorphic encryption is a form of encryption that allows computation on ciphertexts, generating an encrypted result which, when decrypted, matches the result of the operations as if they had been performed on the plaintext. The purpose of homomorphic encryption is to allow computation on encrypted data.

              "Причем хранится именно в оперативной памяти платежного терминала.… RAM POS-терминалов — номера карт, адреса, коды безопасности и имена пользователей."


              Чем магнитный считыватель должен шифровать данные с прочитанных полос, если карта может быть от чужого банка, а узнать какой банк (система) сможет обработать данные можно только по номеру карты? Шифрование требуют только при хранении на постоянных носителях и при передаче через интернет.


              https://www.enisa.europa.eu/publications/info-notes/point-of-sale-attacks


              POS malware was first discovered in October 2008. During a fraud investigation, it was found that attackers had been installing debugging software on POS systems that was capable of extracting full magnetic stripe data from its memory. ...

              https://www.wired.com/wp-content/uploads/2014/09/wp-pos-ram-scraper-malware.pdf
              N. Huq. PoS RAM Scraper Malware Past, Present, and Future


              Criminals are exploiting the fact that credit card magnetic stripe data temporarily resides in plain text in the RAM of PoS devices during processing
              cybercriminals were attempting to install debugging tools on PoS devices in order to dump entire sets of magnetic stripe data. The Visa report revealed that such debugging tools could effectively parse unencrypted sensitive data not written to disk from volatile memory (i.e., RAM)
              PoS RAM scrapers retrieve a list of running processes and load-inspects each process’s memory for card data. They run searches on the process memory space and can retrieve entire sets of Tracks 1 and 2 credit card data.

              Data in memory: All of the credit card data is temporarily stored in plain text in the RAM of merchants’ PoS systems during processing. Cybercriminals use PoS RAM scrapers to steal this data.
              Data at rest: Merchants’ PoS systems store transaction data for a short period of time (e.g., for batching) as well as a partial set of data for a long period of time for record purposes in log files or a database. The data stored is encrypted. There is no specific encryption algorithm requirement defined in PCI DSS. Instead, PCI DSS mandates the use of strong cryptography (i.e., minimum key length of 112 bits).
              Data in transit: The data is internally transferred over LANs or WANs and externally over the Internet. Encryption is mandatory for data transferred over the Internet but not for information transferred over LANs or WANs.

              The reality is, EMV credit cards cannot prevent PoS RAM scraper attacks… This chip makes it extremely difficult for cybercriminals to manufacture counterfeit credit cards using stolen data, which helps reduce counterfeiting and lost or stolen card fraud. If the EMV Tracks 1 and 2 data is sent to the PoS system for processing, it will become susceptible to PoS RAM scraper
              attacks because the decrypted data resides in the RAM.

              U.K. credit card fraud statistics show that even after EMV cards were introduced in the country, losses related to card-not-present fraud dramatically increased in number. [66] This shows that cybercriminals are using stolen credit card data for online purchases instead of manufacturing and using counterfeit cards.

              Armed with an NFC-enabled smartphone and an app that can read contactless card data via NFC, hackers can brush against potential victims in crowded public spaces and wirelessly steal their credit card data in an act that has been dubbed “electronic pickpocketing.” The simple solution to prevent electronic pickpocketing is to put contactless cards in shielded sleeves ...

              https://www.symantec.com/content/dam/symantec/docs/white-papers/attacks-on-point-of-sale-systems-en.pdf


              In response, many retailers today use network-level encryption even within their internal networks. While that change protected the data as it travelled from one system to another, the credit card numbers are not encrypted in the systems themselves and can still be found in plain text within the memory of the POS system and other computer systems responsible for processing or passing on the data. This weakness has led to the emergence of “RAM-scraping” malware, which allows attackers to extract this data from memory while the data is being processed inside the terminal rather than when the data is travelling through the network.
              0
              Нормально — клавиатуры терминалов содержат свои процессоры (микроконтроллеры), что работают с секретными данными.
              Процессор терминала получает хэши (их генерит контроллер клавы), так что утечки приватных данных не происходит.
              +2
              Роутерные вирусы тоже по этому принципу работают.
                0
                Читая статью, надеялся что вот наконец-то Kingston представить DDR-планки с встроенным эвристическим анализатором… а оказалось банальный разбор вируса. Эх-х…
                  +3
                  надеялся что вот наконец-то Kingston представить DDR-планки с встроенным эвристическим анализатором…

                  Мечтаете чтобы дырень в безопасности Spectre была не только у процессоров Intel, но и у памяти Kingston?!
                    0
                    А каким боком Spectre к эвристике антивируса относится?
                  +11
                  Возможно я неправ, однако, насколько я понял, основной посыл статьи таков:
                  «Если Вы не знаете, где хранить Ваши вирусы, храните их в оперативной памяти… И оперативная память марки Kingston, подходит, для этих целей, как нельзя лучше!»
                    +1
                    Ну или вирусы облюбовали вашу оперативную память, поэтому настоятельно рекомендуем ее расширить, ведь теперь вы в ответе за тех, кого приручили приходится делиться. Странный маркетинговый ход, однако. Начали за здравие…
                    +1
                    А Юлмарт еще жив, чтобы на него промоссылки давать?
                      +2
                      К сожалению, да, как и другой представленный тут участник АКИТ — Ситилинк.
                      +1
                      Зашёл, увидел плашку за 2500 р, и подумал, да, подешевело на 500 рублей. Потом понял, что это за 4 ГБ.

                      Так что есть смысл поспешить за новой памятью и выгодно обновиться.
                      Даже DDR4 в последнее время стоила 4 тыс, а сейчас уже 5 тыс. Думаю, сейчас не время выгодно обновиться.
                        +3
                        32 гига DDR4 стоят 20 тыс. А года два назад стоили 10 тыс. Вместо того, чтобы подешеветь до 6 тыс (а если бы рубль не упал, то до 3 тыс), они подорожали до 20 тыс =) Да, хорошее время обновления компа.
                          0

                          А кто виноват? Майнеры?

                            0
                            Производители смартфонов?
                              0
                              Они заметно влияют на инфляцию?
                              Если да, то — как?
                              0
                              год назад 32gb DDR4 стоили тоже 20к, так что за последний год ничего не поменялось. Значит повышение было два года назад, и можно даже посмотреть почему, ключевые слова: Катар, Гелий
                                0
                                Ровно год назад (29 марта 2017) можно было купить восьмигиговую плашку за 3300. 32 ГБ DDR 4 обошлись бы в 13.2 тыс — сильно отличается от Ваших 20 тыс.

                                В середине 2016-го можно было купить ещё дешевле — за 2.5 тысячи. 32 ГБ обошлось бы в 10 тыс.

                                И даже месяц-два назад 32 ГБ DDR 4 можно было купить где-то за 17 тыс. А сейчас уже 20 тыс.
                                  +1
                                  Ровно год назад покупал в РФ самый дешевый кит от Kingston 2x16gb за те же 20к, про киты x4, каюсь, не подумал,
                            +1
                            А что касперский ищет в этих 40 банках? По мне так эта мулька с антивирусом касперского, который сам вирус не стоит того, чтобы за него платить. Три года я без всяких антивирусников! Иногда хочу переустановить систему и понимаю зачем если всё работает как часы. Система установленная весит всего 1.2 Г. Наверно для вирусов ваших там мало места )))))
                              0
                              «на сайтах известных антивирусных компаний есть раздел с услугами по расшифровке или генерации кода»
                              Это не работает. А если работает — резонный вопрос — не антивирусные ли компании пишут те самые вирусы?
                                0
                                А может врачи, что занимаются лечением населения,
                                спонсируют разработку новых инфекций? :)

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое