Новая техника внедрения кода AtomBombing

Исследователи из компании enSilo разработали новую технику внедрения кода в легитимные процессы AtomBombing, которая работает на всех версиях Windows, включая версию 10.

В настоящее время существует не так много известных способов внедрения кода. Список некоторых из них можно найти здесь. Летом прошлого года исследователи из enSilo на основе техники внедрения кода, используемого в PowerLoader, разработали модифицированную технику PowerLoaderEx, которая имеет несколько усовершенствований: поддержка x64, использование Desktop Heap вместо Shared Section в explorer.exe, техника не использует чтение памяти целевого процесса.

По сути, AtomBombing представляет собой модификацию метода с использованием QueueUserAPC, при этом сформированный при помощи ROP техники  shellcode помещается в память с использованием таблицы атомов. Таблицы атомов в Windows используются приложениями для хранения информации об объектах, строках и идентификаторах для доступа к ним. Доступ к таблицам и модификации данных в них есть фактически у любых приложений.

Производителям антивирусных продуктов придется в очередной раз усовершенствовать свои механизмы поведенческого обнаружения (и как можно быстрее, пока технику не начали использовать in the wild), так как AtomBombing не использует никаких уязвимостей Windows, а лишь особенности ее реализации.

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s