导语:安全研究员发现了一种针对Windows操作系统的新型攻击,可以在受害者电脑中注入恶意代码或者入侵受害者的电脑。

安全研究员发现了一种针对Windows操作系统的新型攻击,可以在受害者电脑中注入恶意代码或者入侵受害者的电脑。

10月27日,enSilo安全公司的安全研究团队发现了一种新型的攻击技术,并将其命名为AtomBombing。它能绕过目前所有版本Windows上的安全保护策略。

这种技术之所以命名为AtomBombing,是因为它利用的主要是Windows上的atom table功能。atom table是Windows上用来存储字符串和标识符的一个定义表。

enSilo的安全研究团队称,通过在atom table中写入恶意代码,然后强制合法程序能检索出这行代码,这样一来,安全软件就无法检测到这种类型的攻击了。

例如,攻击者可以说服用户运行恶意文档evil.exe,但是电脑上任何安全软件或者防火墙都能阻止该恶意文件的执行。为了克服这个问题,evil.exe必须要找到能操纵合法程序的方法,这样合法程序就能代表evil.exe进行正常的通信了。

AtomBombing能绕过所有安全产品的检测

如果攻击者使用了AtomBombing技术,他们便能绕过所有安全产品的检测,然后实施窃取敏感信息,屏幕截图,获取加密密码等恶意操作了。

获取加密密码可能发生在谷歌chrome使用DPAPI(Data Protection API (DPAPI))加密密码的过程中。DPAPI是一个简单的加密应用变成接口,Windows 2000及其以后所有版本中都有预安装该功能,理论上来说,它能对所有类型的数据进行加密。但是如果恶意软件注入进了用户访问的进程中,那么这些密码都将会变成明文的,上述的恶意操作也就都能实现了。

市面上有很多种代码注入技巧,但是只要有注入行为,立马就会被杀毒软件查杀。AtomBombing和它们不一样,这种方法能绕过目前所有的杀毒软件,甚至还能绕过所有的终端解决方案。

AtomBombing利用的是Windows内置的机制,而不是依赖于一些漏洞或者存在缺陷的代码。这一问题目前还没有修复,也没有补丁可供使用,唯一的解决办法就是深入进API,随时监视可疑的行为。

源链接

Hacking more

...