是什麼原因讓所有的Windows系統淪陷了？

02-02

安全研究員發現了一種針對Windows操作系統的新型攻擊，可以在受害者電腦中注入惡意代碼或者入侵受害者的電腦。

10月27日，enSilo安全公司的安全研究團隊發現了一種新型的攻擊技術，並將其命名為AtomBombing。它能繞過目前所有版本Windows上的安全保護策略。

這種技術之所以命名為AtomBombing，是因為它利用的主要是Windows上的atom table功能。atom table是Windows上用來存儲字元串和標識符的一個定義表。

enSilo的安全研究團隊稱，通過在atom table中寫入惡意代碼，然後強制合法程序能檢索出這行代碼，這樣一來，安全軟體就無法檢測到這種類型的攻擊了。

「例如，攻擊者可以說服用戶運行惡意文檔evil.exe，但是電腦上任何安全軟體或者防火牆都能阻止該惡意文件的執行。為了克服這個問題，evil.exe必須要找到能操縱合法程序的方法，這樣合法程序就能代表evil.exe進行正常的通信了。」n

如果攻擊者使用了AtomBombing技術，他們便能繞過所有安全產品的檢測，然後實施竊取敏感信息，屏幕截圖，獲取加密密碼等惡意操作了。

獲取加密密碼可能發生在谷歌chrome使用DPAPI(Data Protection API (DPAPI))加密密碼的過程中。DPAPI是一個簡單的加密應用變成介面，Windows 2000及其以後所有版本中都有預安裝該功能，理論上來說，它能對所有類型的數據進行加密。但是如果惡意軟體注入進了用戶訪問的進程中，那麼這些密碼都將會變成明文的，上述的惡意操作也就都能實現了。

市面上有很多種代碼注入技巧，但是只要有注入行為，立馬就會被殺毒軟體查殺。AtomBombing和它們不一樣，這種方法能繞過目前所有的殺毒軟體，甚至還能繞過所有的終端解決方案。

AtomBombing利用的是Windows內置的機制，而不是依賴於一些漏洞或者存在缺陷的代碼。這一問題目前還沒有修復，也沒有補丁可供使用，唯一的解決辦法就是深入進API，隨時監視可疑的行為。

註：本文參考來源於zdnet