ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Вредоносное ПО может модифицировать таблицы атомов и заставить легитимные приложения выполнять вредоносные действия.

Специалисты компании enSilo описали новый метод внедрения вредоносного кода в легитимные процессы Windows, позволяющий обойти современные решения безопасности

Техника, получившая название AtomBombing, основана на использовании таблиц атомов, в которых Windows хранит идентификаторы и строковые переменные для поддержки функций других приложений. Поскольку таблицы являются общедоступными, любое приложение может модифицировать содержащиеся в них данные.

По словам исследователей, вредоносное ПО может модифицировать таблицы атомов и заставить легитимные приложения выполнять вредоносные действия.

«Многие решения безопасности полагаются на списки доверенных процессов. Атакующий может внедрить вредоносный код в один из процессов и таким образом обойти защиту», - пояснил аналитик enSilo Тал Либерман (Tal Liberman).

Применение техники AtomBombing позволяет вредоносному ПО осуществить MitB-атаки, делать снимки экрана, перехватывать зашифрованные пароли и производить любые действия, которые может выполнять легитимное доверенное приложение.

Атака AtomBombing работает на всех версиях Windows. Особенность техники заключается в использовании базовых механизмов операционной системы, что затрудняет создание патча, поскольку для этого потребуется переработка ОС. По мнению экспертов, единственным способом предотвратить подобные атаки станет отслеживание вызовов API на предмет любых вредоносных изменений.

28/10/16 http://www.securitylab.ru/news/484282.php