Исследователи из компании enSilo разработали новую технику внедрения кода в легитимные процессы, которая позволяет малвари обойти практически все современные механизмы защиты. Методика получила название «Атомная бомбардировка» (AtomBombing), так как атака концентрируется вокруг использования таблиц атомов (atom table). По сути, атака не эксплуатирует никаких багов, но полагается на слабые стороны Windows.

Таблицы атомов в Windows используются приложениями для хранения информации об объектах, строках и идентификаторах для доступа к ним. Доступ к таблицам и модификации данных в них есть фактически у любых приложений. Исследователи из enSilo решили воспользоваться данной особенностью работы ОС для построения новой техники атак и преуспели. По сути, AtomBombing эксплуатирует особенности самой Windows, так как операционная система позволяет модифицировать таблицы атомов и внедрять в них какой-либо код (в том числе вредоносный), который в итоге будет выполнен легитимным приложением. Внедрившись в легитимный процесс, малварь может легко остаться незамеченной для защитных механизмов.

«Многие средства обеспечения безопасности имеют белый список для доверенных процессов. Если атакующий сможет внедрить вредоносный код в один из этих процессов, он с легкостью обойдет защитные механизмы», — пишут исследователи.

Помимо возможности внедрения в процессы, инъекция кода с помощью AtomBombing также позволяет атакующему реализовать браузерную man-in-the-middle атаку, удаленно делать снимки экрана и получить доступ к зашифрованным паролям, хранящимся в браузере. Так как Google Chrome шифрует и хранит пароли с помощью Windows Data Protection API (DPAPI), малварь внедрившая в процесс текущего пользователя способна «увидеть» пароли и виде простого текста, так как API использует для шифрования и расшифровки данные текущего юзера.

Кроме того, внедрив код в браузер, атакующие смогут подменять контент, который видит пользователь. К примеру, при осуществлении банковского перевода злоумышленники могут подменить адрес платежа или сумму перевода, о чем жертва даже не догадается.

Исследователи enSilo пишут, что с патчем для AtomBombing могут возникнуть серьезные проблемы. Здесь нет уязвимости, которую можно исправить, для устранения бреши разработчикам Microsoft придется пересматривать базовые механизмы работы самой ОС, что практически нереализуемо.

2 комментария

  1. Jeffrey Davis

    31.10.2016 at 10:22

    для устранения бреши разработчикам Microsoft придется пересматривать базовые механизмы работы самой ОС, что практически нереализуемо

    Венде-таки капец? Это он?

    • John Cramer

      31.10.2016 at 13:32

      Винде, к счастью или к сожалению, от этого ни разу не капец. Код-то скопировать в адресное пространство другого процесса несложно, основная трудность состоит в его запуске. AtomBombing применяет для запуска недокументированную функцию NtQueueApcThread — просто скрытая установка контекста с «раскручиванием» ROP. Антивирусы начнут палить этот приём через месяц, а защиту Винды это вообще не нарушает.

Оставить мнение

Check Also

eBay умышленно ухудшает безопасность, предлагая использовать SMS-сообщения вместо токенов

Известный ИБ-журналист Брайан Кребс обратил внимание, что eBay пытается понизить безопасно…