Атака AtomBombing взломает все версии Windows

Discussion in 'Мировые новости. Обсуждения.' started by seostock, 31 Oct 2016.

  1. seostock

    seostock Elder - Старейшина

    Joined:
    2 Jul 2010
    Messages:
    2,102
    Likes Received:
    4,658
    Reputations:
    31
    Вредоносное ПО может модифицировать таблицы атомов и заставить легитимные приложения выполнять вредоносные действия.

    Специалисты компании enSilo описали новый метод внедрения вредоносного кода в легитимные процессы Windows, позволяющий обойти современные решения безопасности

    Техника, получившая название AtomBombing, основана на использовании таблиц атомов, в которых Windows хранит идентификаторы и строковые переменные для поддержки функций других приложений. Поскольку таблицы являются общедоступными, любое приложение может модифицировать содержащиеся в них данные.

    По словам исследователей, вредоносное ПО может модифицировать таблицы атомов и заставить легитимные приложения выполнять вредоносные действия.

    «Многие решения безопасности полагаются на списки доверенных процессов. Атакующий может внедрить вредоносный код в один из процессов и таким образом обойти защиту», - пояснил аналитик enSilo Тал Либерман (Tal Liberman).

    Применение техники AtomBombing позволяет вредоносному ПО осуществить MitB-атаки, делать снимки экрана, перехватывать зашифрованные пароли и производить любые действия, которые может выполнять легитимное доверенное приложение.

    Атака AtomBombing работает на всех версиях Windows. Особенность техники заключается в использовании базовых механизмов операционной системы, что затрудняет создание патча, поскольку для этого потребуется переработка ОС. По мнению экспертов, единственным способом предотвратить подобные атаки станет отслеживание вызовов API на предмет любых вредоносных изменений.

    28/10/16 http://www.securitylab.ru/news/484282.php
     
    svetoslavhorobriy and BabaDook like this.
  2. Soviet[HZ]

    Soviet[HZ] Elder - Старейшина

    Joined:
    20 Jul 2007
    Messages:
    87
    Likes Received:
    39
    Reputations:
    22
    К чему это вообше?
     
  3. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,707
    Likes Received:
    12,387
    Reputations:
    351
    Про инжект в системные процессы читал и успешно тестил на повышение привилегий..но что ещё за таблица атомов? Первый раз про них слышу. Или перевели криво?
    А код инжекта АтомБомбинга лежит тут: https://github.com/BreakingMalwareResearch/atom-bombing
     
    _________________________
    #3 user100, 1 Nov 2016
    Last edited: 1 Nov 2016
  4. \/IRUS

    \/IRUS Elder - Старейшина

    Joined:
    3 Aug 2012
    Messages:
    379
    Likes Received:
    495
    Reputations:
    37
    https://msdn.microsoft.com/en-us/library/windows/desktop/ms649053(v=vs.85).aspx
     
  5. \/IRUS

    \/IRUS Elder - Старейшина

    Joined:
    3 Aug 2012
    Messages:
    379
    Likes Received:
    495
    Reputations:
    37
    Я юзал их единожды для того чтобы соединить советника MetaTrader с нейронной сетью написанной на ASM. Довольно удобно и быстро. Но нефига не безопасно =)
     
  6. \/IRUS

    \/IRUS Elder - Старейшина

    Joined:
    3 Aug 2012
    Messages:
    379
    Likes Received:
    495
    Reputations:
    37
    Атомы обычно для передачи сведений между приложениями используют, или состояний, как семафоры но ток для всех процессов винды.
    И можно неплохо так поднасрать системе если использовать всю структуру в целом, например при копировании и вставке, через атом подделать формат не соответствующий содержимому и вызвать у принимающего приложения переполнение буфера из-за отсутствия необходимых проверок соответствия.
     
    #6 \/IRUS, 9 Nov 2016
    Last edited: 9 Nov 2016
    user100 and Matcal Koushek like this.
Loading...