admin 发表于 2016-10-30 00:42:46

新的Windows代码注入方法可能会让恶意软件绕过检测.灰鸽子下载,远程控制软件

新的Windows代码注入方法可能会让恶意软件绕过检测.灰鸽子下载,远程控制软件
http://images.techhive.com/images/article/2016/09/matrix-100680471-large.jpg
安全研究人员发现了一种新的方法,允许恶意软件将恶意代码注入其他进程,而不被防病毒程序和其他端点安全系统检测到。
新方法是由来自安全公司Ensilo的研究人员设计的,他们称之为AtomBombing,因为它依赖于Windows原子表机制。这些特殊表由操作系统提供,可用于在应用程序之间共享数据,远程控制软件,远程控制。
Ensilo研究员Tal Liberman在一篇博客中说,“我们发现威胁主体可以将恶意代码写入原子表并强制合法程序从表中检索恶意代码。 “我们还发现,合法程序,现在包含恶意代码,可以操纵来执行该代码。
这种新的代码注入技术目前不被防病毒和端点安全程序检测到,因为它是基于合法的功能,根据Liberman。此外,原子表机制存在于所有Windows版本,它不是可以打补丁,因为它不是一个漏洞。
恶意软件程序由于各种原因使用代码注入技术。例如,银行木马将恶意代码注入浏览器进程,以便监视和修改本地显示的网站 - 通常是银行网站。这允许他们窃取登录凭据和支付卡详细信息,或将交易秘密重定向到他们的帐户。
代码注入也可以用于绕过限制,允许特定数据仅由特定进程访问。例如,如果恶意软件进程本身没有所需的权限,它可以用于从其他应用程序窃取加密的密码或截取用户桌面的屏幕截图,灰鸽子远程控制。
只有少数众所周知的代码注入技术,许多端点安全产品已经具有检测它们的机制。然而,“作为一种新的代码注入技术,AtomBombing绕过了[防病毒]和其他终端渗透防止解决方案,”Liberman说。
Bitdefender的高级电子威胁分析师Liviu Arsene说,即使攻击没有利用软件漏洞,安全供应商也可以检测并阻止恶意负载。如果有效负载被执行并尝试将恶意代码注入到合法应用程序中,那么仍然可以检测和阻止尝试,因为安全供应商通常在其整个执行生命周期中监视进程和服务。
Microsoft代表在电子邮件声明中表示,为了帮助避免恶意软件感染,Microsoft鼓励其客户在线实践良好的计算习惯,包括单击链接到网页,打开未知文件或接受文件传输时的谨慎。 “在恶意软件可以利用代码注入技术之前,系统必须已经被入侵。
页: [1]
查看完整版本: 新的Windows代码注入方法可能会让恶意软件绕过检测.灰鸽子下载,远程控制软件