新的Windows代碼注入方法可能會讓惡意軟件繞過檢測.灰鴿子下載,遠程控制軟件

admin

新的Windows代碼注入方法可能會讓惡意軟件繞過檢測.灰鴿子下載,遠程控制軟件

  安全研究人員發(fā)現了一種新的方法，允許惡意軟件將惡意代碼注入其他進程，而不被防病毒程序和其他端點安全系統(tǒng)檢測到。
  新方法是由來自安全公司Ensilo的研究人員設計的，他們稱之為AtomBombing，因為它依賴于Windows原子表機制。這些特殊表由操作系統(tǒng)提供，可用于在應用程序之間共享數據，遠程控制軟件，遠程控制。
  Ensilo研究員Tal Liberman在一篇博客中說，“我們發(fā)現威脅主體可以將惡意代碼寫入原子表并強制合法程序從表中檢索惡意代碼。 “我們還發(fā)現，合法程序，現在包含惡意代碼，可以操縱來執(zhí)行該代碼。
  這種新的代碼注入技術目前不被防病毒和端點安全程序檢測到，因為它是基于合法的功能，根據Liberman。此外，原子表機制存在于所有Windows版本，它不是可以打補丁，因為它不是一個漏洞。
  惡意軟件程序由于各種原因使用代碼注入技術。例如，銀行木馬將惡意代碼注入瀏覽器進程，以便監(jiān)視和修改本地顯示的網站 - 通常是銀行網站。這允許他們竊取登錄憑據和支付卡詳細信息，或將交易秘密重定向到他們的帳戶。
  代碼注入也可以用于繞過限制，允許特定數據僅由特定進程訪問。例如，如果惡意軟件進程本身沒有所需的權限，它可以用于從其他應用程序竊取加密的密碼或截取用戶桌面的屏幕截圖，灰鴿子遠程控制。
  只有少數眾所周知的代碼注入技術，許多端點安全產品已經具有檢測它們的機制。然而，“作為一種新的代碼注入技術，AtomBombing繞過了[防病毒]和其他終端滲透防止解決方案，”Liberman說。
  Bitdefender的高級電子威脅分析師Liviu Arsene說，即使攻擊沒有利用軟件漏洞，安全供應商也可以檢測并阻止惡意負載。如果有效負載被執(zhí)行并嘗試將惡意代碼注入到合法應用程序中，那么仍然可以檢測和阻止嘗試，因為安全供應商通常在其整個執(zhí)行生命周期中監(jiān)視進程和服務。
  Microsoft代表在電子郵件聲明中表示，為了幫助避免惡意軟件感染，Microsoft鼓勵其客戶在線實踐良好的計算習慣，包括單擊鏈接到網頁，打開未知文件或接受文件傳輸時的謹慎。 “在惡意軟件可以利用代碼注入技術之前，系統(tǒng)必須已經被入侵。