Интересный способ маскировки трояна

10 февраль, 2010 - 23:32Арсен Бандурян

Сегодня поговорим не про RFID... А о способе загрузки исполняемого кода, который, теоретически, обходит антивирусы и Host IPS.

Товарищ Didier Stevens, чей блог посвящен разным изысканиям в области безопасности, приводит способ загрузки DLL (суть, исполняемого кода) в память другого приложения в обход "установленных правил". Загруженные таким образом DLL не отображаются в списке подруженных модулей процесса и не вызывают подозрения у систем Host IPS (т.к. используют нестандартный механизм загрузки). Кроме того, одна из вариаций его способа даже не сохраняет файлы на диск, что решает вопрос с антивирусами.

Пока что код существует в виде примера MS Excel с макросом, который вызывает вначале cmd, а оттуда regedit, при этом ни тот не другой не видятся, как загруженные модули программы. Там же ссылки на предыдущие постинги с подробностями технологии. Данный пример работает только в рамках собственного процесса и не приводит к значительным нарушениям безопасности ...если не считать таковым возможность пересобрать в виде DLL любой другой исполняемый файл (например, cmd) и дальше делать всё, что угодно, а также то, как много пользователей всё ещё работает с админскими правами.

В принципе, если такой код попытается закрепиться в системе, нормальные (и правильно настроенные) HIPS отследят попытки изменения одним процессом памяти других процессов и/или изменения важных системных файлов и пресекут их. Правда, если родительское приложение не было помечено как "доверенное", или пользователь таки вчитается в сообщение HIPS, а не даванет привычно кнопку "разрешить".

В общем, вот такая интересная получается маскировочка.  Возможно, в скором времени жизнь тех, кому приходится "вычищать" malware из компьютеров сотрудников/друзей/родственников, значительно осложнится.

Подробности здесь:  http://blog.didierstevens.com/2010/02/08/excel-with-cmd-dll-regedit-dll