安全研究人员发现了一种新方法,可使恶意软件在不被杀软和其他终端安全系统检测到的情况下,将恶意代码注入其他进程。该新方法是由安全公司Ensilo的研究人员设计的,因为依赖Windows的原子表机制,被命名为AtomBombing(原子弹)。这些特殊的表是由操作系统提供的,可被用于在应用程序间共享数据。
Ensilo研究人员塔尔·利伯曼在博客中说:“我们发现,黑客可向原子表中写入恶意代码,迫使合法程序从该表中取出恶意代码。然后,含有恶意代码的合法程序可被操纵来执行该恶意代码。”
目前,该新代码注入技术还不能被杀软和终端安全程序检测,因为它是基于合法功能的。而且,原子表机制在所有Windows系列操作系统中都有用到,由于根本不能算是漏洞,也就无法打上补丁。
恶意软件程序出于各种原因采用代码注入技术。比如说,银行木马会向浏览器进程注入恶意代码,目的是监视和修改本地显示的网站——通常是银行网页。这能让它们盗取登录凭证和支付卡信息,或者秘密重定向交易到它们的账户。
代码注入还可被用于绕过各种限制,让恶意程序可以读取本应只被特定进程访问的某些数据。例如,可利用代码注入来盗取其他应用程序中的加密口令,或者在恶意进程本身没有所需权限的情况下截屏用户桌面。
著名代码注入技术并不多,很多终端安全产品都有机制可以检测。
然而,作为新型代码注入技术,“原子炸弹”可以绕过杀软和其他终端渗透防御解决方案。
安全公司Bitdefender高级电子威胁分析师李维·阿塞尼表示,即便攻击不利用软件漏洞,安全厂商也可以检测并封锁恶意负载。只要恶意负载确实被执行,且试图注入恶意代码到合法应用程序中,该尝试依然会被检出并锁定,因为安全厂商通常会监视进程和服务的整个执行生命周期。
一位微软代表在电子邮件声明中表示:为辅助免受恶意软件感染,微软鼓励其客户培养良好上网习惯,包括在点击网页链接、打开未知文件或接受文件传输时保持警惕。“恶意软件要能利用代码注入技术,那系统必须是早已被感染的了。”
来源:安全牛