Новости Mockingjay — новый способ инъекции вредоноса в обход антивирусов

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.099
Репутация
11.695
Реакции
61.889
RUB
50
Новый способ инъекции вредоносной составляющей, получивший имя Mockingjay, позволяет атакующим обойти защитные системы и выполнить злонамеренный код в скомпрометированных системах.


На Mockingjay указали исследователи из компании Security Joes. В отчёте специалисты пишут следующее: «Интересно, что инъекция осуществляется без выделения специального места, установки разрешений и даже запуска потока. Уникальность этого метода также в том, что для его реализации достаточно уязвимой DLL и копирования кода в нужный раздел».

Таким образом, по классификации этот способ можно отнести к «внедрению кода», который позволяет злоумышленникам помещать вредонос в процесс и обходить защитные программы.

mockingjay_news.png


Довольно популярной техникой является внедрение DLL, переносимых исполняемых файлов (Portable Executable, PE), а также перехват выполнения потока и process hollowing. Эксперты подчёркивают, что каждый из этих методов требует набор определённых системных вызовов и API Windows.

Но Mockingjay отличается тем, что избавляет атакующего от необходимости запуска API Windows, которые, как правило, мониторятся защитными решениями. Для этого вектор задействует уже существующие переносимые исполняемые файлы Windows, содержащие дефолтный блок памяти, защищённый правами Read-Write-Execute (RWX).



Взять, к примеру, библиотеку msys-2.0.dll, которая идёт с 16 КБ доступного пространства RWX. Это делает её идеальным кандидатом для инъекции вредоносного кода. Могут быть и другие уязвимые DLL с подходящими характеристиками, предупреждают специалисты.


 
Осталось опробовать как в деле покажет
 
Сверху Снизу