Ключи реестра уязвимы к перехвату COM
Как сообщают исследователи из Cyberbit, киберпреступники взяли на вооружение новую технику, позволяющую запускать вредоносные файлы под видом легитимных. Как оказалось, техника перехвата COM, используемая хакерами для сохранения персистентности на атакуемой системе, также позволяет обходить обнаружение.
В ходе эксперимента исследователи обнаружили, что к данной атаке уязвимы сотни ключей реестров. В настоящее время для сокрытия вредоносного поведения внутри легитимной активности большинство вирусописателей используют внедрение кода. Однако перехват COM позволяет запускать код в контексте легитимного процесса, к примеру, браузера.
По словам исследователей, для добавления DLL даже не требуется загрузка. «Поскольку большинство ключей затрагивались сразу же при запуске целевого процесса, некоторые из них даже не требовали выполнения целевого процесса для уже запущенного процесса, такого как Explorer.exe» – сообщили исследователи.
С помощью описанной экспертами техники злоумышленники могут вполне легально загружать и запускать вредоносное ПО в обход обнаружения без необходимости внедрения кода.
COM – технологический стандарт от компании Microsoft, предназначенный для создания программного обеспечения на основе взаимодействующих компонентов объекта, каждый из которых может использоваться во многих программах одновременно.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
