Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

BadRAM: атака при помощи вредоносного модуля RAM

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Исследователи из трех европейских университетов недавно продемонстрировали атаку BadRAM. Она стала возможна благодаря уязвимости в процессорах AMD EPYC и угрожает прежде всего поставщикам облачных решений и систем виртуализации. В наихудшем сценарии данная уязвимость может быть использована, чтобы скомпрометировать данные из максимально защищенной виртуальной машины.

Впрочем, реализовать этот сценарий на практике будет достаточно нелегко. Атака предполагает физический доступ к серверу, а затем — максимальный уровень доступа к программному обеспечению. Однако, прежде чем обсуждать атаку BadRAM в деталях, стоит поговорить о концепции Trusted Execution Environment, или TEE.

Особенности TEE

Ошибки в программном обеспечении неизбежны. По разным оценкам, сделанным еще в девяностые годы прошлого века, на каждую тысячу строк кода приходится от 1 до 20 ошибок. Часть этих ошибок приводит к уязвимостям, через которые злоумышленники могут попробовать добраться до конфиденциальной информации. Поэтому в случаях, когда защищенность каких-то данных или цепочки вычислений (например, обработки секретных ключей шифрования) должна быть максимальной, имеет смысл изолировать эти данные (или вычисления) от всего остального кода. Примерно в этом и состоит концепция Trusted Execution Environment.

Существует огромное количество реализаций TEE для решения различных задач. В процессорах AMD она реализована в виде технологии Secure Encrypted Virtualization, обеспечивающей повышенную защиту виртуальных машин. Она подразумевает шифрование данных виртуальной системы в памяти, чтобы системы других виртуальных машин или оператор физического сервера, на котором развернуты виртуальные ОС, не могли получить к ним доступ. Относительно недавно для этой технологии было выпущено расширение Secure Nested Paging, способное определить попытки несанкционированного доступа к данным виртуальной системы.

Представьте себе сценарий, когда финансовая организация использует инфраструктуру стороннего подрядчика для работы своих виртуальных систем. На виртуальных ОС обрабатываются максимально конфиденциальные данные, и нужно обеспечить их стопроцентную безопасность. Можно предъявлять повышенные требования к подрядчику, но в некоторых случаях проще исходить из того, что ему нельзя полностью доверять.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Мурат Профит
      Помощь в расшифровке файлов, после атаки Trojan.Encoder.31074 (Lockbit 3)
      Автор Мурат Профит
      Здравствуйте!
      Сегодня утром 17.05.2025, чуть позже 9.00 нас атаковала программа-шифровальщик.
      У файлов изменено расширение. И их невозможно открыть, как это делалось обычно.
      На сервере, где были зашифрованы файлы, установленный антивирус злоумышленники каким-то образом удалили.
      Файл шифровальщика не обнаружен.
      Addition.txt FRST.txt Shortcut.txt Файлы и требования.rar
    • _1Artes1_
      Помощь в очистке от вирусов
      Автор _1Artes1_
      В общем,во время поиска обхода блокировки дискорда,поймал себе какую-то гадость,вытащила мне все логины и пароли с устройства ,вроде,удалил,но сегодня не смог зайти в редактор реестра и понял,что еще не все исправлено
      CollectionLog-2025.05.08-21.00.zip
    • foroven
      Обнаружена сетевая атака
      Автор foroven
      Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
    • Мала
      Не могу понять, что за вредоносное ПО
      Автор Мала
      После установки пиратского ПО (google sketch up) нанятым «помощником» сначала скорость интернета просела до двух мегабит в секунду на пару дней. Сканирование компа kaspersky internet security угроз не обнаружило. 
      Через еще пару дней нечто заблокировало браузер и возможность скачивания. Интернет был, но страницы гугл хлома не загружались. Клик по диагностике сети выдавал «удаленное устройство или ресурс не принимает подключение». При этом десктопный востап обновлялся. Но посланную через него антивир утилиту скачать не удавалось.
      Следом поступил звонок с номера «из Молдовы», который я брать не стала. и поняла, что видимо щас «сотрудники фсб» будут взламывать мои госуслуги. Похоже, что это было нечто, что скачало с компа все данные и логины пароли. 
      Нанятый лечитель вирусов с youdo удаленно помог снять странные установленные каким-то патчем ограничения с браузера и почистил шесть каких-то вирусов разными утилитами.
      В финале я в безопасном режиме еще раз проверила утилитой cureit др веба. И он нашел один какой-то файл и удалил. 
       
      4 дня всё поработало бесперебойно. Сегодня снова появился симптом про браузер. То есть нечто управляющее браузером все еще сидит на компе.  Пирасткое ПО правда так и осталось не снесённым. Но есть ощущение что снос ПО не поможет и надо что-то хитрее предпринять. 
       
      Да, впн стоял и исправно без странных симптомов работал более полутора лет без обновлений. Приложения hiddify, сервер от papervpn. 

      Я очень неопытный женщина-юзер. Помогите, пожалуйста, понять что можно сделать. 
       
    • KL FC Bot
      Фишинг через Google Ads: атаки на SEOшников и маркетологов
      Автор KL FC Bot
      Многие сотрудники компаний используют в повседневной работе внешние онлайн-сервисы, доступные через браузер. Некоторые помнят адреса часто используемых сайтов и набирают их по памяти, другие сохраняют закладки. Но есть люди, которые каждый раз вбивают название сайта в поисковик и переходят по первой ссылке в выдаче. Именно на них, по всей видимости, и рассчитывают злоумышленники, продвигающие фишинговые сайты через платформу Google Ads. За счет этого фальшивые страницы выдаются в поиске выше, чем ссылка на легитимный сайт.
      Согласно отчету Ads Safety Report, за 2024 год Google заблокировала или удалила 415 миллионов рекламных объявлений Google Ads за нарушения правил, преимущественно связанных с мошенничеством. Компания также заблокировала 15 миллионов рекламных аккаунтов, размещавших подобную рекламу. Эта статистика дает возможность представить масштаб проблемы — Google Ads является невероятно популярным среди преступников инструментом для продвижения вредоносных ресурсов. Большая часть таких схем направлена на домашних пользователей, но в последнее время в новостях появлялись заметки с описаниями случаев охоты за корпоративными аккаунтами в таких сервисах, как Semrush, или даже в самом сервисе Google Ads.
      Поддельные страницы Semrush
      Semrush — популярная платформа для подбора ключевых слов, анализа сайтов конкурентов, отслеживания обратных ссылок и тому подобного. Ей пользуются SEO-специалисты по всему миру. Для большей эффективности Semrush часто интегрируется с Google Analytics и Google Search Console — а аккаунты в этих сервисах могут содержать массу конфиденциальной информации о бизнесе компаний. Например, показатели доходов, сведения о маркетинговых стратегиях, анализ поведения клиентов и многое другое.
      Если злоумышленники смогут получить доступ к аккаунту Semrush, то эта информация может быть использована для проведения новых атак на других сотрудников или просто продана в даркнете.
      Неудивительно, что нашлись злоумышленники, затеявшие фишинговую кампанию, нацеленную на SEO-специалистов. Они создали серию сайтов, оформление которых достаточно точно повторяет страницу входа в аккаунт Semrush. Для убедительности преступники использовали целый ряд доменных имен, содержащих название имитируемой компании: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com», «semrush-pro[.]co», «sem-rushh[.]com» и так далее. И все эти сайты продвигались с помощью объявлений в Google Ads.
       
      View the full article
×
×
  • Создать...