HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > ИНФО > Мировые новости. Обсуждения.
Перезагрузить страницу Атака AtomBombing взломает все версии Windows
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 31.10.2016, 10:18
seostock
Guest
Сообщений: n/a
Провел на форуме:
507892

Репутация: 51
По умолчанию
Вредоносное ПО может модифицировать таблицы атомов и заставить легитимные приложения выполнять вредоносные действия.

Специалисты компании enSilo описали новый метод внедрения вредоносного кода в легитимные процессы Windows, позволяющий обойти современные решения безопасности

Техника, получившая название AtomBombing, основана на использовании таблиц атомов, в которых Windows хранит идентификаторы и строковые переменные для поддержки функций других приложений. Поскольку таблицы являются общедоступными, любое приложение может модифицировать содержащиеся в них данные.

По словам исследователей, вредоносное ПО может модифицировать таблицы атомов и заставить легитимные приложения выполнять вредоносные действия.

«Многие решения безопасности полагаются на списки доверенных процессов. Атакующий может внедрить вредоносный код в один из процессов и таким образом обойти защиту», - пояснил аналитик enSilo Тал Либерман (Tal Liberman).

Применение техники AtomBombing позволяет вредоносному ПО осуществить MitB-атаки, делать снимки экрана, перехватывать зашифрованные пароли и производить любые действия, которые может выполнять легитимное доверенное приложение.

Атака AtomBombing работает на всех версиях Windows. Особенность техники заключается в использовании базовых механизмов операционной системы, что затрудняет создание патча, поскольку для этого потребуется переработка ОС. По мнению экспертов, единственным способом предотвратить подобные атаки станет отслеживание вызовов API на предмет любых вредоносных изменений.

28/10/16 http://www.securitylab.ru/news/484282.php
 
Ответить с цитированием

  #2  
Старый 01.11.2016, 03:30
Soviet[HZ]
Познающий
Регистрация: 20.07.2007
Сообщений: 53
Провел на форуме:
162004

Репутация: 100
Отправить сообщение для Soviet[HZ] с помощью ICQ
По умолчанию
Цитата:
Сообщение от palec2006  
palec2006 said:

легитимный - янукович
К чему это вообше?
 
Ответить с цитированием

  #3  
Старый 01.11.2016, 22:03
user100
Guest
Сообщений: n/a
Провел на форуме:
884729

Репутация: 373
По умолчанию
Про инжект в системные процессы читал и успешно тестил на повышение привилегий..но что ещё за таблица атомов? Первый раз про них слышу. Или перевели криво?

А код инжекта АтомБомбинга лежит тут: https://github.com/BreakingMalwareResearch/atom-bombing
 
Ответить с цитированием

  #4  
Старый 09.11.2016, 13:10
\/IRUS
Guest
Сообщений: n/a
Провел на форуме:
118953

Репутация: 37
По умолчанию
Цитата:
Сообщение от Matcal Koushek  
Matcal Koushek said:

Нет никаких "таблиц атомов", тем более, комично, чтоб винда хранила в них хендлы, это заставляет посмотреть на число статьи, уж не 1 апреля ли?
А когда прочитал, что винда ещё хранит там переменные, да не просто переменные, а только строковые, это просто поржал спасибо.
Даже моя воспалённая фантазия такого не набредит.
Далее, эти таблицы являются "общедоступными", это как?
Я столько кодил всякого хлама под винду и никогда не встречал на форумах про "общедоступные таблицы атомов"?
С инжекцией, тоже набуровили хуеты.
Чтоб ижекцию сделать, надо для начала экзешник запустить, а это кто его будет запускать и скачивать?
Там три хуя надо сломать, чтоб такое осуществить, хотя, в демострационных теоретических целях можно внедрить свой код в Блокнот, когда-то сам такое делал, такое реально.
А это фраза убивает наповал,
"отслеживать вызовы АПИ, на предмет вредоносных изменени
й" - это мог сочинить только Петросян Галустян.
Вызов Апи, он есть вызов, ничего внедрить проверить отследить в нём невозможно, кроме как перехватить.
Это как?
Я вызываю функцию, кто-то её перехватывает и внедряет свою, что-ли, куда он её внедрит-то, в МСДН, что-ли?
Короче, автор статьи Либерман, а евреи очень весёлый народ, подьёбщики ещё те, старая школа.
Кто-то капитально наклевался мухоморов и написал эту гоноррею, за 100 рублей
https://msdn.microsoft.com/en-us/lib...(v=vs.85).aspx
 
Ответить с цитированием

  #5  
Старый 09.11.2016, 13:53
\/IRUS
Guest
Сообщений: n/a
Провел на форуме:
118953

Репутация: 37
По умолчанию
Цитата:
Сообщение от Matcal Koushek  
Matcal Koushek said:

Не знал об этом.
Не задумывался никогда, каким образом винда хранит хендлы и тем более, не слышал никогда что эти таблицы "общедоступные."
У меня этого доступа нету.
Я юзал их единожды для того чтобы соединить советника MetaTrader с нейронной сетью написанной на ASM. Довольно удобно и быстро. Но нефига не безопасно =)
 
Ответить с цитированием

  #6  
Старый 09.11.2016, 15:41
\/IRUS
Guest
Сообщений: n/a
Провел на форуме:
118953

Репутация: 37
По умолчанию
Атомы обычно для передачи сведений между приложениями используют, или состояний, как семафоры но ток для всех процессов винды.

И можно неплохо так поднасрать системе если использовать всю структуру в целом, например при копировании и вставке, через атом подделать формат не соответствующий содержимому и вызвать у принимающего приложения переполнение буфера из-за отсутствия необходимых проверок соответствия.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ