Читаем Компьютерра PDA N97 (19.02.2011-25.02.2011) полностью

Компьютерра PDA N97 (19.02.2011-25.02.2011)

"Magenta - это новый тип руткита под все нынешние разновидности ОС Windows, который в HBGary получил название мульти-контекстного руткита. Тело этого руткита, на 100 процентов реализованного на языке ассемблер и имеющего размер порядка 4 кбайт или менее того, вводится в память ядра ОС с помощью техники частичной загрузки DriverEntry. Однажды внедрённый в память ядра, руткит Magenta автоматически выявляет там контекст активных процессов и тредов, чтобы встраивать себя в них через механизм APC (асинхронный вызов процедуры). Как только APC срабатывает в контексте нового процесса, тут же выполняется и код руткита. При завершении каждой активации APC Magenta перемещает себя на новое место в памяти и автоматически выявляет новые комбинации процессов/тредов для запуска одного или нескольких дополнительных APC.

Среди ключевых особенностей руткита можно отметить, что это совершенно новый тип, не имеющий аналогов в открытых публикациях. Его практически невозможно удалить из живой работающей системы. Любые инструменты, основанные на физическом анализе памяти, которые позволяют увидеть текущее местоположение тела Magenta, будут почти бесполезны, поскольку к тому времени, когда аналитик попытается проверить свой результат, Magenta уже переместится в новое место и в новый контекст. Руткит невидим для оборонительных компонентов режима ядра и оснащён элегантной и мощной системой инструкций командования и управления (C&C message system), для которых имеется практически бесконечное количество способов их внедрения в физическую память сетевого компьютера даже при нулевых полномочиях…"

Переходя к не менее любопытной и до последнего времени столь же незримой деятельности дочерней фирмы, HBGary Federal, несложно увидеть, что с заказами федерального правительства у неё как-то с самого начала не задалось. Однако задачи, которые эта компания с энтузиазмом бралась решать для столкнувшихся с проблемами богатых клиентов, вроде Bank of America или Торговой палаты США, в каком-то смысле ничуть не уступают коммерческому изготовлению шпионских руткитов. А с точки зрения сомнительной легальности творимого, быть может, даже и превосходят.

Когда осенью прошлого года Торговая палата США пожелала собрать информацию о некоторых из своих наиболее рьяных оппонентов в рядах профсоюзов, Аарон Барр почуял большие деньги и объединился с двумя другими компаниям по инфобезопасности, чтобы предложить Палате радикальное решение. Суть предложения - создать крутую и абсурдно дорогостоящую "ячейку синтеза" для быстрого и эффективного сбора компрометирующих материалов на оппонентов, по типу тех ячеек, что "создают и применяют в JSOC" (крайне засекреченном американском Командовании совместных спецопераций) для оперативной борьбы с национальными угрозами. Аналогичная инициатива для бизнес-структур, по подсчётам Барра и его подельников, обошлась бы Палате в круглую сумму - два миллиона долларов ежемесячно.

Ещё даже не получив предварительное "добро" или тем более контракт на операцию, три фирмы уже начали собирать твиты и прочие сетевые публикации либеральных активистов, а также составлять диаграммы социальных связей между людьми. Для этого они использовали продвинутые программы анализа контактов, чаще всего применяемые в спецслужбах и разведывательном сообществе.

Читаем Компьютерра PDA N97 (19.02.2011-25.02.2011) полностью

Компьютерра PDA N97 (19.02.2011-25.02.2011)

Похожие книги

Все жанры