恶意软件可绕过恶意软件检测注入程序进程

恶意软件可绕过恶意软件检测注入程序进程

黑客教程访客2021-10-11 21:24:006041A+A-

安全研究人员发现了一种新方法,可使恶意软件在不被杀软和其他终端安全系统检测到的情况下,将恶意代码注入其他进程。该新方法是由安全公司Ensilo的研究人员设计的,因为依赖Windows的原子表机制,被命名为AtomBombing(原子弹)。这些特殊的表是由操作系统提供的,可被用于在应用程序间共享数据。

Ensilo研究人员塔尔·利伯曼在博客中说:“我们发现,黑客可向原子表中写入恶意代码,迫使合法程序从该表中取出恶意代码。然后,含有恶意代码的合法程序可被操纵来执行该恶意代码。”

目前,该新代码注入技术还不能被杀软和终端安全程序检测,因为它是基于合法功能的。而且,原子表机制在所有Windows系列操作系统中都有用到,由于根本不能算是漏洞,也就无法打上补丁。

恶意软件程序出于各种原因采用代码注入技术。比如说,银行木马会向浏览器进程注入恶意代码,目的是监视和修改本地显示的网站——通常是银行网页。这能让它们盗取登录凭证和支付卡信息,或者秘密重定向交易到它们的账户。

代码注入还可被用于绕过各种限制,让恶意程序可以读取本应只被特定进程访问的某些数据。例如,可利用代码注入来盗取其他应用程序中的加密口令,或者在恶意进程本身没有所需权限的情况下截屏用户桌面。

著名代码注入技术并不多,很多终端安全产品都有机制可以检测。

然而,作为新型代码注入技术,“原子炸弹”可以绕过杀软和其他终端渗透防御解决方案。

安全公司Bitdefender高级电子威胁分析师李维·阿塞尼表示,即便攻击不利用软件漏洞,安全厂商也可以检测并封锁恶意负载。只要恶意负载确实被执行,且试图注入恶意代码到合法应用程序中,该尝试依然会被检出并锁定,因为安全厂商通常会监视进程和服务的整个执行生命周期。

一位微软代表在电子邮件声明中表示:为辅助免受恶意软件感染,微软鼓励其客户培养良好上网习惯,包括在点击网页链接、打开未知文件或接受文件传输时保持警惕。“恶意软件要能利用代码注入技术,那系统必须是早已被感染的了。”

来源:安全牛

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 1条评论
  • 酒奴夙月2022-05-29 04:39:20
  • 检出并锁定,因为安全厂商通常会监视进程和服务的整个执行生命周期。一位微软代表在电子邮件声明中表示:为辅助免受恶意软件感染,微软鼓励其客户培养良好上网习惯,包括在点击网页链接、打开未知文件或接受文件传输时保持警惕。“恶意软件要能利用代码注入技术,那系统必须是早已被感染的了。”来

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理