Хабрахабр

Разработчики Windows 10 реализовали защиту от вирусов-вымогателей. Ее можно обойти с помощью инъекции DLL

image

Он предотвращает изменение файлов в указанных защищенных папках неизвестными программами. В Windows 10 появился механизм защиты от вирусов-вымогателей под названием Controlled Folder Access. обнаружил способ обхода этой защиты с помощью DLL-инъекций. Исследователь информационной безопасности из Fujitsu System Integration Laboratories Ltd.

В чем проблема

Сойа Аойама (Soya Aoyama) сумел внедрить вредоносную DLL в «Проводник» Windows – а explorer.exe как раз находится в доверенном списке программ Controlled Folder Access. Для осуществления своего замысла исследователь использовал тот факт, что при запуске explorer.exe загружает DLL, обнаруженные в разделе реестра HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers:

image

При осуществлении такого «мерджа», Windows присваивает информации из HKCU приоритет. Дерево HKEY_CLASSES_ROOT это «мердж» информации регистра, обнаруженной в HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER. Это значит, что если в HKCU существует ключ, то он будет иметь приоритет перед таким же ключом в HKLM, и эти данные вольются в дерево HKEY_CLASSES_ROOT.

Чтобы загрузить в Explorer зловредную DLL, Аойама просто создал ключ HKCU\Software\Classes\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32 и задал в его значении нужную ему библиотеку. При старте explorer.exe по умолчанию загружается Shell32.dll, находящаяся в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\\InProcServer32.

После этого после завершения и рестарта процесса explorer.exe, вместо Shell32.dll программа запускала созданную хакером DLL.

Результатами исследования Аойама поделился на конференции DerbyCon:

Как защититься

Исследователь также выяснил, что найденную им схему атаки не распознают многие антивирусы, среди которых Windows Defender, Avast, ESET, Malwarebytes Premium и McAfee.

Исследователь направил информацию о своих находках в компанию, однако там ему ответили, что ему не полагается награды, и они не будут выпускать патч, поскольку для проведения атаки зломышленнику нужен доступ к компьютеру жертвы и при ее осуществлении не происходит превышения прав доступа. При этом, по словам Аойамы, представители Microsoft не считают, что он обнаружил уязвимость.

В основном инфраструктура крупных компаний строится на Windows. Тем не менее, в сочетании с другими уязвимостями, обнаруженный Аойамой вектор атаки может оказаться интересным для атакующих. Зная это, злоумышленники разрабатывают специальные инструменты для атак под эту операционную систему.

Слушатели узнают, как они работают, какую активность в сетевом трафике создают, а самое главное, как вовремя детектировать их применение. Уже завтра, 18 октября в 14:00, эксперты эксперты PT Expert Security Center разберут три инструмента взлома, которые позволяют быстро развить атаку в Windows-инфраструктуре: impacket, CrackMapExec и Koadic. Вебинар будет интересен сотрудникам SOC, blue teams и IT-подразделений.

Для участия необходимо зарегистрироваться.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть