AtomBombing - атака, способная взломать любые версии Windows


enSiloAtomBombing - техника внедрения вредоносного кода в легитимные процессы Windows, позволяющая обойти современные решения безопасности.

Данный метод основан на использовании таблиц атомов, в которых Windows хранит идентификаторы и строковые переменные для поддержки функций других приложений. А поскольку таблицы являются общедоступными, то любое приложение может модифицировать содержащиеся в них данные.

 

По словам исследователей из enSilo, описавших эту технику, вредоносное ПО может модифицировать таблицы атомов и заставить легитимные приложения выполнять вредоносные действия.

Многие решения безопасности полагаются на списки доверенных процессов. Атакующий может внедрить вредоносный код в один из процессов и таким образом обойти защиту.

Применение техники AtomBombing позволяет вредоносному ПО:

  • осуществить MitB-атаки;
  • делать снимки экрана;
  • перехватывать зашифрованные пароли;
  • производить любые действия, которые может выполнять легитимное доверенное приложение.


Атака AtomBombing работает на всех версиях Windows. Особенность техники кроется в использовании базовых механизмов операционной системы, что затрудняет создание патча, поскольку для этого потребуется переработка ОС. Эксперты считают, что единственным способом предотвратить подобные атаки - это отслеживание вызовов API на предмет любых вредоносных изменений.


Обновлено (28.10.2016 19:55)