如何看待針對 Windows 系統的 "AtomBombing" 內存注入攻擊 ?

01-07

AtomBombing: A Code Injection that Bypasses Current Security Solutions
https://breakingmalware.com/injection-techniques/atombombing-brand-new-code-injection-for-windows/

它的原理是什麼？影響範圍有多大？目前是否/何時得到修復？

先申明我不是安全領域的，但也覺得這事並沒有媒體上說得那麼嚇人啊。APC本來就是可以讓你跨進程運行代碼的啊，我們的正常產品就用到APC的，只是他利用Atom table巧妙地傳遞了需要運行的代碼內容。

這個東西，首先你要讓某小白運行你的一段惡意代碼，然後它才能注入到其他進程中運行它的代碼，而且只能注入到同樣許可權級別的進程中。

舉個例子就是這樣的，黑客給你發了一個clickme.exe，你居然雙擊運行了，然後同樣許可權的chrome進程就執行黑客代碼了，並沒有許可權提升。

怎麼防範？你別運行clickme.exe行不行啊？

另外NtQueueUserApc是可以被安全軟體攔截的，這個和其他基於APC的注入也沒多大區別啊。

嗯。。已經第一手研究了這個東東

首先請放心，目前百分之80的正常殺軟在不升級病毒庫的情況下依然可以攔截....

就這麼說，都是點炸彈，只是炸彈扔進去的方式不同，你點他的方法還是一樣的（插APC的方式已經玩了好幾百年....）

另外就算是注進去了，主動防禦判斷代碼不在映像範圍照樣殺

另外你不給許可權他只能注低許可權的，高許可權的依舊不行

最後吐槽句注代碼還有好些沒公開的api都可以。。。只是大家私下玩的很嗨罷了。。。

看了一下代碼，大體上還是利用apc注入，不過在編譯shellcode之後用python讀取pe text區段生成shellcode頭文件這招確實挺有趣的，新技能get

使用atom table無非是想進行跨進程通信，真正達到注入效果的是NtQueryUserApc的使用，而利用APC注入的方法很早之前就有人實現過，所以感覺有點誇大的成分。按照作者的方法，反正都用了APC注入了，只需要把shellcode傳入目標進程就行，那講道理的話用剪貼板都行。

看起來好可怕，明天先把烏班圖裝上以防萬一。。

前幾天一出來就趕快玩了一下，全部翻了一邊再上虛擬機玩了下就刪除了。還以為是多高大上的個東西

算是一種新型注入方式吧，主防什麼的我就沒去測了

沒事，微軟會出補丁的

【威脅預警】AtomBombing內存注入技術影響全部Windows系統

FB上前幾天發布過，理論上來說，沒有任何一款殺毒軟體可以預防。並且，這個不是漏洞，是設計缺陷，也就是說沒有任何的補丁。短期危害還好，持續性危害很強，可以應用在APT攻擊裡面。