`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Арсен Бандурян

Интересный способ маскировки трояна

+77
голосов

Сегодня поговорим не про RFID... А о способе загрузки исполняемого кода, который, теоретически, обходит антивирусы и Host IPS.

Товарищ Didier Stevens, чей блог посвящен разным изысканиям в области безопасности, приводит способ загрузки DLL (суть, исполняемого кода) в память другого приложения в обход "установленных правил". Загруженные таким образом DLL не отображаются в списке подруженных модулей процесса и не вызывают подозрения у систем Host IPS (т.к. используют нестандартный механизм загрузки). Кроме того, одна из вариаций его способа даже не сохраняет файлы на диск, что решает вопрос с антивирусами.

Пока что код существует в виде примера MS Excel с макросом, который вызывает вначале cmd, а оттуда regedit, при этом ни тот не другой не видятся, как загруженные модули программы. Там же ссылки на предыдущие постинги с подробностями технологии. Данный пример работает только в рамках собственного процесса и не приводит к значительным нарушениям безопасности ...если не считать таковым возможность пересобрать в виде DLL любой другой исполняемый файл (например, cmd) и дальше делать всё, что угодно, а также то, как много пользователей всё ещё работает с админскими правами.

В принципе, если такой код попытается закрепиться в системе, нормальные (и правильно настроенные) HIPS отследят попытки изменения одним процессом памяти других процессов и/или изменения важных системных файлов и пресекут их. Правда, если родительское приложение не было помечено как "доверенное", или пользователь таки вчитается в сообщение HIPS, а не даванет привычно кнопку "разрешить".

В общем, вот такая интересная получается маскировочка.  Возможно, в скором времени жизнь тех, кому приходится "вычищать" malware из компьютеров сотрудников/друзей/родственников, значительно осложнится.

Подробности здесь:  http://blog.didierstevens.com/2010/02/08/excel-with-cmd-dll-regedit-dll

 

+77
голосов

Напечатать Отправить другу

Читайте также

Следствием будет всего лишь падение производительности антивирусов (которые в скором времени будут проверять память более тщательно).

Внедрение таких мер точно позволит объяснить, зачем ПК для работы с офисными приложениями нужен Core-i9 последнего поколения :) Предлагаю на многоядерных процессорах выдавать одно ядри чисто под антивирус/HIPS :)

Но, честно говоря, другого варианта пока не видно - надо менять механизмы ОС.

и все равно чего-то пропустят...

Все куски снабдить цифровой подписью и добавить политики по внедрению инородных тел для каждого процесса.

DLL'ки и так подписываются. Тут суть в том, что грузится всё совсем по другому.

Арсен, в свое время причиной для апгрейда моего ПК был Антивирус Касперского - я именно хотел двухядерный процесор для работы антивируса.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT