標籤:

是什麼原因讓所有的Windows系統淪陷了?

安全研究員發現了一種針對Windows操作系統的新型攻擊,可以在受害者電腦中注入惡意代碼或者入侵受害者的電腦。

10月27日,enSilo安全公司的安全研究團隊發現了一種新型的攻擊技術,並將其命名為AtomBombing。它能繞過目前所有版本Windows上的安全保護策略。

這種技術之所以命名為AtomBombing,是因為它利用的主要是Windows上的atom table功能。atom table是Windows上用來存儲字元串和標識符的一個定義表。

enSilo的安全研究團隊稱,通過在atom table中寫入惡意代碼,然後強制合法程序能檢索出這行代碼,這樣一來,安全軟體就無法檢測到這種類型的攻擊了。

「例如,攻擊者可以說服用戶運行惡意文檔evil.exe,但是電腦上任何安全軟體或者防火牆都能阻止該惡意文件的執行。為了克服這個問題,evil.exe必須要找到能操縱合法程序的方法,這樣合法程序就能代表evil.exe進行正常的通信了。」n

如果攻擊者使用了AtomBombing技術,他們便能繞過所有安全產品的檢測,然後實施竊取敏感信息,屏幕截圖,獲取加密密碼等惡意操作了。

獲取加密密碼可能發生在谷歌chrome使用DPAPI(Data Protection API (DPAPI))加密密碼的過程中。DPAPI是一個簡單的加密應用變成介面,Windows 2000及其以後所有版本中都有預安裝該功能,理論上來說,它能對所有類型的數據進行加密。但是如果惡意軟體注入進了用戶訪問的進程中,那麼這些密碼都將會變成明文的,上述的惡意操作也就都能實現了。

市面上有很多種代碼注入技巧,但是只要有注入行為,立馬就會被殺毒軟體查殺。AtomBombing和它們不一樣,這種方法能繞過目前所有的殺毒軟體,甚至還能繞過所有的終端解決方案。

AtomBombing利用的是Windows內置的機制,而不是依賴於一些漏洞或者存在缺陷的代碼。這一問題目前還沒有修復,也沒有補丁可供使用,唯一的解決辦法就是深入進API,隨時監視可疑的行為。

註:本文參考來源於zdnet

推薦閱讀:

MS08-067漏洞原理分析及還原
2萬美金等你拿!任天堂發布3DS漏洞懸賞任務
PEGASUS iOS內核漏洞分析(第一部分)

TAG:系统漏洞 |