Лэстлайн заявил о новой возможности найти вредоносное ПО ядра Windows, дополненное презентацией на Юге Юго-западом на стране вредоносного ПО.Большинство пространства ядра Windows лишь для чтения для предотвращения несанкционированной загрузки кода, и программа уровня пользователя почти всегда не имеет возможности писать код, что выполнится в ядре, растолковал он.Большая часть современного противовирусного ПО действенно применяет технологии эвристики, дабы оказать помощь идентифицировать потенциальное вредоносное ПО, все же в анализе Кирды, этого не хватает для нахождения вредоносного ПО уровня ядра.
«Руткит обязан не обязательно трудиться в ядре, так, атакующий имел возможность записать код, что трудится в пространстве пользователя», сообщил Кирда. «Руткит имел возможность кроме этого возможно трудиться в ядре».Вредоносное ПО ядра не есть тем же как вредоносным программным обеспечением руткита не обращая внимания на то, что эти два смогут быть связаны, он сообщил, добавив, что руткит есть группой вредоносных инструментов, созданных для предоставления контроля атакующего уязвимой совокупности.Начиная с вредоносных исполнений ядра с высокими полномочиями самому современному защитному методам игры и программному обеспечению в песочнице не удается найти вредоносное ПО, делая более тяжёлым мешать ему причинить вред, сообщил Кирда.
Вредоносное ПО существует во многих формах и употребляется для нападения на многие разные технологии, включая ядро ОС Windows Микрософт. Компания безопасности Лэстлайн заявила о новой возможности найти вредоносное ПО ядра, дополненное презентацией 17 марта на Юге Юго-западом (SXSW) конференция по стране вредоносного ПО.С новым выпуском Lastline 6.5 существует возможности и дополнительная видимость видеть, загружается ли что-то практически в ядро, сообщил Кирда.«Существует вредоносное ПО сейчас, которое вводится конкретно в ядро, и проблема состоит в том, что это разрешает вредоносному ПО трудиться с высокими полномочиями», сообщил Engin Kirda, учредитель Lastline и основной архитектор, eWEEK.
Тогда как Кирда видел повышение вредоносного ПО ядра, в основном, он не видел, что он обширно употребляется в автоматизированных наборах и инструментах эксплуатации. Большая часть вредоносных нападений ядра, каковые видел Кирда, было весьма предназначено и не было автоматизировано. Сейчас, в то время, когда Lastline имеет новый глубочайший уровень видимости, компания будет исследовать новые методы улучшить разработку для нахождения одного шага перед атакующими, сообщил Кирда.«Атакующие будут довольно часто применять уязвимости в ядре для перезаписи защиты от записи», сообщил Кирда.
«Мы ожидаем, что вредоносное ПО ядра станет еще более уклончивым», сообщил Кирда.Новая возможность Lastline взять видимость во вредоносное ПО ядра взята из того, как Lastline делает эмуляцию. Платформа Обнаружения Нарушения Лэстлайна действенно применяет QEMU с открытым исходным кодом (Стремительный Эмулятор) с расширениями и дополнительными модификациями для исполнения полной системной эмуляции.
Партнеры Lastline и интегрируют его разработку с многократными поставщиками, включая Dell SecureWorks, светло синий Слой, Растяжку, Juniper и Барракуду.«Так как мы в состоянии видеть каждую инструкцию, которая выполняется в ядре, мы можем искать злонамеренные методы поведения, каковые показательны из вредоносного ПО», сообщил Кирда. «Так, если бы что-то заканчивается в ядре совершает что-то, что Вы почти всегда не ожидали бы видеть, мы можем отметить это».Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.