ensilo網絡安全公司的研究團隊發現了稱為atombombing記憶體注入的技術,可以繞過所有windows系統的清除機制,目前所有的windows防毒軟體也無效。
首先第一個危害就是繞過windows全部的清除機制了,就如我之前所述,這個東西屬于windows底層的一個功能,現有防毒軟體無法對其進行防護。一旦惡意代碼注入到白名單程序中,任何的清除機制都無法自動進行防禦。
因為它可以随意注入到任意程序,也就是說它可以注入到浏覽器程序中,任意修改網頁資料,達到一個中間人攻擊的效果。與此同時,這個注入技術還可以獲得未進行https加密的中繼資料。惡意代碼可以注入到浏覽器記憶體中,在資料傳輸到傳輸層之前将其進行截獲,進而獲得一份原始的未加密資料。
ensilo 是提供實時資料保護平台先進攻擊的網絡安全公司。本公司成立上認識到外部威脅演員不能防止滲透網絡和相反側重防止盜竊和篡改的關鍵資料的網絡攻擊事件。ensilo 使組織能夠繼續運作其業務營運安全和不受幹擾,通過阻斷實時在調查和補救的攻擊,甚至任何與資料相關的惡意活動。ensilo 的平台不需要先驗知識或使用者或資料的配置。
公司的上司安全二戰老兵從領先的私營和公共部門公司,包括 imperva、 akamai、 rsa 和拉斐爾。ensilo 是由光速創投、 倫勃朗創投和卡梅爾合資企業在财政上支援。
在windows有一個功能叫做atom tables,而這個功能主要可以用于程序和程序之間的通信,線程和線程之間的通信。而ensilo網絡安全公司的研究團隊利用這個功能的設計缺陷,成功的将一個惡意代碼注入到一個合法的程序當中,并且不會被防毒軟體清除。這個缺陷影響了所有的windows系統。
非常不幸的是,這個缺陷沒辦法修複,因為它不屬于某個代碼的漏洞,而是atom tables在設計之初就存在這個功能了,它屬于windows底層系統的一個機制。如果要修複這個缺陷,隻能重新開發一個atom tables的替代品,或者重新編寫atom tables的運作機制,而這樣将會對windows系統的核心進行大規模的調整。
實際上,這個技術的原理并沒有多複雜,但是影響卻非常的顯著。比如我要運作一個shellcode.exe,而這個可執行程式中内置的惡意代碼。windows殺毒的清除機制會檢查這個軟體的簽名證書,運作行為等等,進而達到一個清除的效果。但是,如果我們能夠說服使用者輕按兩下這個shellcode.exe,在利用atombombing技術後,它可以和其它的合法程序建立一個不會被清除的通訊。比如我們可以讓chrome.exe和shellcode.exe進行通信,而windows的程序清單裡面隻會出現chrome.exe的程序,同時防毒軟體會認為chrome是一個合法程式,不會對其進行清除。
實際上,針對windows記憶體注入的方式大概也就那麼幾個,分别為使用函數queueuserapc dll注入,調用setwindowshookex注入,code cave注入和前不久的powerloaderex記憶體注入。然而atombombing注入和其他的注入有很多不同,它是利用系統底層的缺陷進行注入,繞開了全部的防毒軟體,可以影響到全部的windows系統,本質上來說并沒有什麼更新檔可以針對這個缺陷。
詳細技術分析看這裡:
http://www.securitynewspaper.com/2016/10/27/atombombing-brand-new-code-injection-windows/
本文由:freebuf 釋出,版權歸屬于原作者。
原文釋出時間:2017年3月24日
本文由:freebuf 釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/windows-bypass-vulnerability-atombombing
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站