Исследователи из AV-TEST собрали около 140 образцов вредоносного ПО, нацеленных на эксплойт уязвимостей Spectre и Meltdown. Как показал анализ, большинство из них основаны на опубликованных PoC-кодах и, скорее всего, являются творением экспериментаторов, проверяющих их на «профпригодность».

О возможности атак Spectre и Meltdown, позволяющих обойти механизмы изоляции памяти и получить доступ к конфиденциальным данным, широкой публике стало известно в начале января. Эксперты почти сразу предупредили, что Spectre можно эксплуатировать удаленно, в том числе через браузер с помощью JavaScript, и ведущие вендоры браузеров поспешили выпустить соответствующие заплатки.

Семнадцатого января AV-TEST Institute сообщил в Twitter об обнаружении 77 сэмплов, по всей видимости, связанных со Spectre и Meltdown. К 23 января число таких находок возросло до 119. А вчера представитель AV-TEST заявил Security Week, что им удалось заполучить 139 подобных образцов из разных источников, в том числе от ИБ-исследователей, специалистов по тестированию и производителей антивирусов.

«Большинство похоже на рекомпилированные или расширенные версии PoC, притом ориентированные на разные платформы — Windows, Linux, MacOS, — уточнил исполнительный директор AV-TEST Андреас Маркс (Andreas Marx). — Мы также внесли в базу данных первые образцы PoC-кода на JavaScript, предназначенные для веб-браузеров IE, Chrome и Firefox». По мнению Маркса, эти опытные образцы созданы разными группами исследователей, в том числе — собеседник Security Week не исключил такую возможность — вирусописателями.

Fortinet подтверждает прямую связь находок AV-TEST с опубликованными PoC: эксперты в этом убедились, проведя анализ публично доступных образцов, составляющих примерно 83% коллекции AV-TEST.

Экспертов Minerva Labs тоже беспокоит судьба PoC-кодов, выпущенных на просторы Сети, и они внимательно следят за развитием событий на этом направлении. «Я пока еще не видел реальных атак с использованием этих сэмплов», — отметил соучредитель и вице-президент Minerva Labs Омри Моял (Omri Moyal), комментируя текущую активность для Bleeping Computer.

Попытки реализации PoC-кодов для Spectre и Meltdown не могут не настораживать: если некоторые из них предприняты с недоброй целью, в скором времени можно ожидать реальные атаки с использованием этих широко распространенных уязвимостей. Тем более что меры защиты от них пока оставляют желать лучшего: все патчи, выпущенные на настоящий момент, лишь снижают риски, к тому же применение этих скороспелых решений порой создает дополнительные проблемы для пользователей.

Беседуя с репортером Security Week, Маркс озвучил рекомендации по защите от эксплойта Spectre и Meltdown. Кроме установки патчей для ОС и BIOS, эксперт советует всегда выключать ПК, если он вновь понадобится лишь через час и более, и обязательно закрывать браузер на время простоя. По словам Маркса, это позволит не только сэкономить электроэнергию, но также сократить площадь атаки.

Категории: Вредоносные программы, Главное, Кибероборона, Уязвимости