Определенные типы атак, которые не оставляют следов на жестких дисках компьютеров, теперь можно будет отследить при помощи новой утилиты, презентация которой состоится на следующей неделе в рамках конференции Black Hat в Лас-Вегасе.

Исследователи Mandiant продемонстрируют способ, с помощью которого можно будет собрать по кусочкам улики, оставленные в результате вредоносной активности, инициатором которой мог стать код выполняемый исключительно в памяти, и позволяющий таким образом, остаться незамеченным при традиционном анализе дисков.

Утилита для исследования памяти, авторами которой являются Питер Зильберман и Стив Дэвис, в частности обнаруживает следы, оставленные Meterpreter, одним из программных модулей открытого комплекса Metasploit, предназначенного для проведения тестов на проникновение.

Meterpreter может быть внедрен в один из запущенных на компьютере жертвы обычных процессов, избегая таким образом обнаружения со стороны хостовых систем предотвращения вторжений. Впоследствии его можно использовать в качестве платформы для проведения дальнейших атак.

Используя адаптированную версию коммерческой утилиты Memoryze от Mandiant, эксперты смогли осуществить разбор дескрипторов VAD в Windows. Их утилита анализирует структуру протоколов, которые Meterpreter использует для связи со своим сервером, позволяя таким образом установить, какая атака имела место. Кроме того, наличие сброшенных хешей может свидетельствовать о том, что во время нападения были скомпрометированы пароли.