Minden Windows alatt működik ez a kódrejtési trükk

Egy olyan új technikáról hullt le a lepel, amely a Windows XP-től kezdve a Windows 10-ig bezárólag minden Windows verzió alatt képes elrejteni a kártékony kódokat.
 
hirdetés
A kódinjektálásra épülő módszereket gyakran vetik be a vírusírók. Amennyiben egy károkozó kompatibilis ilyen technikával, akkor a fertőzése során vagy azt követően eltűnik a Windows Feladatkezelőjéből, és egy legális folyamat mögül, a háttérben végzi a tevékenységét. Hasonló módszerek persze hackelések során is előkerülnek, például hátsó kapuk rejtésekor.
 
A Hexacorn egyik biztonsági kutatója (aki Adam néven vált ismertté) egy olyan technikát fejlesztett ki, amely kódinjektálásra ad lehetőséget. A szakember arra jött rá, hogy erre a célra a Windows SetWindowSubclass API-ját is fel lehet használni. Mivel ez a grafikus felülettel rendelkező alkalmazások esetében jut szerephez, ezért nem minden folyamatnál alkalmazható az új módszer. Csakhogy ez a kutató szerint nem igazán probléma, mivel a Windows alatt mindig bőven akad olyan folyamat, amelyhez grafikus interfész is társul. Ha más nem, akkor e célra bevethető a Windows Explorer (Intéző) is.
 
A biztonsági kutató a vizsgálatai során a Windows Explorer mellett egyebek mellett a Total Commander, a Process Hacker és az Ollydbg folyamatait is fel tudta használni a saját kódjának leplezéséhez. Ráadásul a módszer a legújabb Windows 10 kiadás alatt épp úgy működik, mint a Windows XP alatt. Sőt már az is kiderült, hogy a kód kisebb módosításával 64 biten is életképes a technika.
 
A szakember jelezte, hogy az általa kifejlesztett proof-of-concept kódot nem fogja nyilvánosságra hozni, hiszen azzal könnyedén vissza lehetne élni. Egyelőre a Microsoftot sem értesítette a felfedezéséről, mivel úgy véli, hogy ezúttal nem egy Windows-os sérülékenységről van szó. Ehelyett egy legális funkció kihasználására alkalmas támadókódról beszélünk, ami ellen nem lehet egy egyszerű frissítéssel védekezni.
Vélemények
 
  1. 3

    Az RSA Authentication Manager sérülékenysége XSS-alapú támadásokban juthat szerephez.

  2. 4

    Az Intel több olyan sebezhetőségről számolt be, amelyek az Intel Management Engine-t érintik.

  3. 4

    A Samba fejlesztői két biztonsági rést foltoztak be.

 
Partnerhírek
​Szaporodnak az androidos kártevők

Ebben az évben az új androidos kártevők száma eléri a 3,5 milliót. Mivel az Android a legelterjedtebb mobil operációs rendszer, a vírusok az okostelefonok háromnegyed részét veszélyeztetik.

​Miért nem elég a titkosítás?

Az adathordozók leselejtezésekor még a titkosított merevlemezeket is fertőtlenítsük felülírással, ha nem szeretnénk, hogy adataink illetlenek kezébe kerüljenek.

hirdetés
Közösség
1