Дослідниками з компанії enSilo була розроблена нова методика впровадження коду в легітимні програмні процеси, що дозволить обійти майже будь-яку існуючу захист. Методика названа «Атомне бомбардування» (AtomBombing), оскільки заснована на атаці з допомогою таблиць атомів (atom table). При цьому атака не експлуатує уразливості Windows, але використовує слабкі сторони цієї ОС.

Таблиці атомів у Windows використовуються додатками для зберігання інформації про об’єкти, рядках і ідентифікатори для доступу до них. Доступ до таблиць і модифікації даних в них є фактично у будь-яких додатків, що дає можливість модифікувати ці таблиці і впроваджувати туди будь-код, який потім буде виконуватися легітимним додатком. При цьому досягається непомітність зловредів для антивірусних і захисних систем.

Багато засоби забезпечення безпеки мають білий список для довірених процесів. Якщо атакуючий зможе впровадити шкідливий код в один з цих процесів, він легко обійде захисні механізми

Дослідники

Крім іншого, така атака може дозволити реалізувати браузерну man-in-the-middle атаку, віддалено робити знімки екрану і отримати доступ до зашифрованих паролів, що зберігаються в браузері. Окремо зазначимо, що користувачі браузера Google Chrome таким чином позбудуться всіх паролів, адже вони шифруються в межах поточного облікового запису, під якою і виконується malware.

Нарешті, така атака дозволить навіть підмінити дані «на льоту». Приміром – адресу платежу або суму переказу, і дізнатися про це можна лише постфактум. Таким чином, мова йде не про проломи, а про уразливості самої системи. Для локалізації проблеми потрібно фактично переписати її заново, що майже нереально.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту і натисніть Ctrl + Enter .