新闻快讯
< >

代码注入新技术“AtomBombing”影响所有Windows版本

代码注入新技术“AtomBombing”影响所有Windows版本 - E安全

E安全10月28日讯,enSilo的安全研究人员发现一种新技术—将恶意软件代码注入合法进程,从而帮助恶意软件绕过安全解决方案。

这种技术被称为“AtomBombing”,围绕Windows的原子表(atom table)下手的恶意代码注入技术。Atom Table是Windows的操作系统,Microsoft对Atom Table的描述如下:

“Atom table是存储字符串和对应标识符的系统定义表。应用程序将atom table中放进字符串,并接收16位整数(被称之为“原子”atom),其可以用来访问字符串。对应的字符串被称之为“原子名”(atom name)。”

基本上,这些都是共享表,在这里,应用程序将信息储存在需定期访问的字符串、对象和其它类型的数据上。因为它们是共享表,因此,各种应用均能访问或修改这些表内的数据。

AtomBombing技术帮助恶意软件绕过安全解决方案

发现该技术的enSilo研究人员表示,该恶意软件能修改atom table,欺骗合法应用程序执行恶意活动。

enSilo的Tal Liberman解释道,“许多安全产品使用可信进程的白名单。如果攻击者能将恶意代码注入其中一些可信进程,就能轻松绕过安全产品。”

此外,Liberman表示,AtomBombing还帮助恶意软件执行Man-in-the-Browser(MitB)攻击,这是银行木马常用的攻击媒介。

通过利用AtomBombing,Liberman表示,恶意软件还对对用户屏幕进行截屏,访问加密密码或采取白名单应用程序能执行的其它活动。

无法补丁修复AtomBombing

enSilo的研究人员表示,AtomBombing影响了所有Windows版本。这是一个设计缺陷,而非漏洞,也就是说,Microsoft无法在不改变整个OS运作模式的情况下打补丁修复。

除了AtomBombinb,过去发现的其它代码注入技术还包括SQL注入、XSS攻击、hotpatching、code hooking等。

本月初,Trend Micro研究人员发现了名为“FastPOS”的PoS恶意软件变种。该恶意软件滥用Windows邮件槽(Windows Mailslots)机制在从受感染系统漏出之前存储数据。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。