______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Ключи реестра уязвимы к перехвату COM

Перехват COM позволяет запускать код в контексте легитимного процесса, к примеру, браузера.

Как сообщают исследователи из Cyberbit, киберпреступники взяли на вооружение новую технику, позволяющую запускать вредоносные файлы под видом легитимных. Как оказалось, техника перехвата COM, используемая хакерами для сохранения персистентности на атакуемой системе, также позволяет обходить обнаружение.

В ходе эксперимента исследователи обнаружили, что к данной атаке уязвимы сотни ключей реестров. В настоящее время для сокрытия вредоносного поведения внутри легитимной активности большинство вирусописателей используют внедрение кода. Однако перехват COM позволяет запускать код в контексте легитимного процесса, к примеру, браузера.

По словам исследователей, для добавления DLL даже не требуется загрузка. «Поскольку большинство ключей затрагивались сразу же при запуске целевого процесса, некоторые из них даже не требовали выполнения целевого процесса для уже запущенного процесса, такого как Explorer.exe» – сообщили исследователи.

С помощью описанной экспертами техники злоумышленники могут вполне легально загружать и запускать вредоносное ПО в обход обнаружения без необходимости внедрения кода.

COM – технологический стандарт от компании Microsoft, предназначенный для создания программного обеспечения на основе взаимодействующих компонентов объекта, каждый из которых может использоваться во многих программах одновременно.

источник 

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх