Ameaças
Os ataques precisam de um ponto fraco para funcionar, as vulnerabilidades do software estão quase sempre ligadas à manipulação da memória. Se o invasor ganha acesso a ela, ele pode ler-la ou modificar-la, roubando informações ou alterando o funcionamento do programa.
Outro ponto fraco está na entrada e na saída de informação para o usuário, que além de poderem sofrer um ataque de memória, também estão vulneráveis a manipulação da informação.
Retirado de site
Figura 1: Ilustração de invasor
-
Manipulando a memória
Conforme anteriormente explicado na seção de ambiente, programas que são executados na camada zero têm acesso a toda a memória, incluindo a da camada três, a invasão dessa camada permite que o invasor possa ler a memória de todos os programas. Logo a camada zero, a mais importante, é a visada em ataques.
Na camada zero há o sistema operacional sendo executado e é através dele que o invasor pode ter acesso a essa camada. O OS pode ser corrompido, ter um driver corrompido ou ainda ter um driver instalado pelo invasor, e como os drivers estão diretamente ligados com o OS e a camada zero, eles são as portas de entrada preferidas.
Com a entrada da camada zero garantida, o invasor pode ter acesso à memória alocada de um programa de seu interesse, podendo roubar informações ou modificar um programa.
-
Manipulando um programa:
Uma mudança comum é mudar os endereços que o programa acessa para seu funcionamento normal, assim o invasor pode fazer o programa se comportar do jeito que ele deseja, entregando informações ou enganando o usuário.
-
Acesso direto a memória (DMA):
O DMA é um sistema que permite a um perimetral (ex: placa PCI ou leitor de mídia) a acessar diretamente a memória sem intermédio da CPU. Isso prove uma rápida troca de dados entre o perimetral e a memória, mas também anula a proteção que a CPU provê. O DMA tem acesso a toda a memória, como a camada zero, logo um ataque através da DMA é efetivo. Assim, basta o invasor manipular um perimetral a usar o DMA para ele ter acesso a memória.
-
Manipulando a entrada
Um Malware pode obter uma informação diretamente de uma mídia de entrada, como o teclado, basta que o seu respectivo driver seja modificado, corrompido ou substituído para enviar os dados diretamente para o malware.
Outro método é canalizar a informação da mídia antes de chegar a seu driver para outro programa na plataforma que os transmite pela internet para o invasor.
Esse tipo de manipulação esta ligada diretamente com o roubo de senhas, como as de bancos.
-
Manipulando a saída
A manipulação da saída visa enganar o usuário a entrar dados em uma aplicação do invasor ao invés da que ele queria, mostrar informações incorretas ou ocultar-las.
Assim como na entrada, a saída também é regida por drivers, tornado o método de invasão similar ao da manipulação da entrada.
-Phishing
É o tipo de ataque que o invasor tenta induzir o usuário a revelar informações a um programa falso.
Um exemplo é um programa que cria uma tela falsa pedindo o usuário e a senha de outro programa verdadeiro. Para tal, o Malware tem que ter acesso a janela que o programa verdadeiro usa, e isso não é secreto, tornando esse tipo de Phishing bem fácil.
Outro método é mostrar dados falsos, a fim de enganar o usuário. Isso pode gerar graves incidentes, principalmente na área financeira. Esse é o ataque de Denial Of Service (DOS), porque o usuário não acesso a informação verdadeira.
Retirado de site
Figura 2: Charge sobre phishing
-Captura de tela
Um ataque desse tipo intercepta as informações que seriam mostradas na tela e as envia para invasor. Esses dados são guardados na memória antes de serem levados para o buffer do display, nessa hora é que o malware age. Pode ser usado em combinação com a interceptação da posição de clique do mouse para obter senha de bancos que utilizam teclados virtuais.