Эксперты информационной безопасности фирмы enSilo вчера сообщили о новой атаке на операционную систему компании Microsoft, преодолевающей современные средства защиты и используемой для внедрения вредоносного кода.
Эта техника получила название AtomBombing поскольку она основана на использовании таблиц атомов (atom table), в которых Windows хранит идентификаторы и строковые переменные для поддержки функций других приложений. Записывая свой код в эту таблицу и заставляя легальную программу его извлекать, хакеры делают невозможным обнаружение атаки защитным ПО.
Сами исследователи описывают это так: "Предположим, атакующий смог заставить пользователя запустить вредоносный исполняемый код evil.exe. Любой установленный на компьютере межсетевой экран уровня приложений должен блокировать коммуникации такой программы. Чтобы преодолеть это препятствие, evil.exe нужно найти путь заставить обычную программу, например, веб-браузер, взять на себя её коммуникации".
"Атомная бомбардировка" обеспечивает обход защиты, извлечение конфиденциальной информации, получение снимков экрана и даже доступ к паролям, зашифрованным Google Chrome посредством Windows Data Protection API (DPAPI). Если код хакера внедряется в процесс, запускаемый в контексте текущего пользователя, эти пароли могут отображаться в виде обычного текста.
Разработчики антивирусов регулярно обновляют сигнатуры известных методов внедрения кода, однако новая техника, как указывает enSilo, имеет шансы избежать внимания антивирусов, а также других современных решений, предотвращающих проникновение на границе сети, в том числе базирующихся на эвристических алгоритмах.
Особенность AtomBombing заключается в использовании базовых механизмов Windows, а не дефектов защиты или кода, это затрудняет создание патчей. Для борьбы с подобными атаками, по мнению экспертов, единственный путь - это глубокое погружение в API и отслеживание любых подозрительных изменений. Они также рекомендуют организациям разрабатывать стратегии безопасности, уже исходя из присутствия взломщика внутри периметра защиты.