På www.C-cure.dk anvender vi cookies udelukkende til at give dig en god brugeroplevelse, når du udfylder formularer. Ved at klikke videre på dette site accepterer du samtidigt vores brug af cookies.

We use cookies in order to give you the best user experience, when filling out forms. By clicking on www.C-cure.dk you thereby accept our use of cookies.

AtomBombing

Sikkerhedsforskere hos Ensilo har afdækket en ny måde, der på kompromitterede systemer, gør det muligt at injicere skadelig kode i andre processer, uden at blive opdaget af alle antimalware-programmer og andre Endpoint sikkerhedssystemer.

Den nye metode er døbt AtomBombing fordi den bygger på Windows Atom Table mekanismen der er tilstede i alle Windowsversioner. De særlige tabeller leveres af operativsystemet og kan bruges til at dele data mellem applikationer. Det er således ikke en sårbarhed og kan derfor ikke lappes.

Det er muligt at skrive skadelig kode i Atom Table og tvinge et legitimt program til at hente den skadelige kode fra tabellen, det er desuden muligt at et legitimt program, der nu indeholder den skadelige kode, kan manipuleres til at eksekvere koden.

Dette sagt så skal det dog indskydes, at der kun vil være succes med en inficering af systemerne, hvis antimalwareløsningen man anvender, ikke er applikation process aware (også navngivet med den hypede betegnelse ”Next Generation” antimalware).

Liviu Arsene, senior e-threat analysist hos Bitdefender udtaler; ”Selv hvis angrebet ikke udnytter en sårbarhed I software, kan en del sikkerhedsproducenter godt finde og blokere det ondsindede payload.  Hvis payloaded bliver eksekveret og forsøger at injicere ondsindet kode ind i en legitim application, vil forsøget kunne opdages og blokeres, fordi mange sikkerheds producenter også monitorerer processer og services gennem hele eksekverings tiden”.

Malware programmer bruger Atom Table til F.eks.; bank trojanere ved injicering af skadelig kode i browser processer for at overvåge og ændre lokalt viste websites - som regel bank hjemmesider. Det giver dem mulighed for at stjæle login legitimationsoplysninger og betaling kortoplysninger eller hemmeligt omdirigere transaktioner til deres konti. 

Kode injektion kan også bruges til at omgå restriktioner, der tillader visse data, der kun skal tilgås af specifikke processer. For eksempel kan det bruges til at stjæle krypterede adgangskoder fra andre programmer eller til at tage skærmbilleder af brugerens skrivebord.

Det handler således om I første hånd ikke at få kompromitteret sine systemer. Microsoft opfordrer sine kunder til at praktisere gode vaner online, herunder udøve forsigtighed, når man klikker på links til websider, åbner ukendte filer, eller accepterer filoverførsler.

Powered by wpsnet.com