新方法可以让Windows恶意软件绕过检测
安全研究人员发现了一种新的方式,允许恶意软件将恶意代码注入其他进程而不被防病毒程序和其他端点安全系统检测到的情况。
来自安全公司Ensilo的研究人员设计了新方法,因为它依赖于Windows Atom表机制。这些特殊表由操作系统提供,可用于共享应用程序之间的数据。
“我们发现的是,威胁演员可以将恶意代码写入原子表并强制一个合法的程序从表中检索恶意代码,”Ensilo Researcher Tal Laberman在博客文章中表示。“我们还发现,可以操作现在包含恶意代码的合法计划来执行该代码。”
根据Liberman的说法,当前未检测到这种新的码注射技术,因为它是基于合法功能。此外,Atom表机制在所有Windows版本中存在,它不是可以修补的东西,因为它不是漏洞。
恶意软件程序由于各种原因使用代码注入技术。例如,银行特洛伊木马将恶意代码注入浏览器进程以监视和修改本地显示的网站 - 通常是银行网站。这允许他们窃取登录凭据和支付卡详细信息或秘密将事务秘密重定向到其帐户。
代码注入也可用于绕过限制,允许仅通过特定进程访问某些数据。例如,如果恶意软件进程本身并未具有所需的权限,则可用于从其他应用程序中窃取来自其他应用程序的加密密码或拍摄用户桌面的屏幕截图。
只有少数众所周知的代码注入技术,许多端点安全产品已经有机制来检测它们。
然而,“作为一种新的代码注射技术,Atombombomeng绕过[杀毒剂]和其他端点渗透防止解决方案,”Laberman说。
即使攻击没有利用软件漏洞,安全供应商可能会检测到恶意有效载荷,位于Bitdefender的高级电子威胁分析师Liviu Arsene表示。如果有效负载确实被执行并尝试将恶意代码注入合法的应用程序,则仍然可以检测到并被阻止的尝试,因为安全供应商经常监视整个执行寿命的过程和服务。
为了帮助避免恶意软件感染,Microsoft鼓励其客户在线练习良好的计算习惯,包括在电子邮件语句中单击“网页链接”,打开未知文件或接受文件传输时谨慎行事。“在恶意软件可以利用代码注入技术之前,系统必须已经泄露。”