Контакты
Подписка
МЕНЮ
Контакты
Подписка

Ключи реестра уязвимы к перехвату COM

Ключи реестра уязвимы к перехвату COM

Ключи реестра уязвимы к перехвату COM


01.08.2018



Как сообщают исследователи из Cyberbit, киберпреступники взяли на вооружение новую технику, позволяющую запускать вредоносные файлы под видом легитимных. Как оказалось, техника перехвата COM, используемая хакерами для сохранения персистентности на атакуемой системе, также позволяет обходить обнаружение.

В ходе эксперимента исследователи обнаружили, что к данной атаке уязвимы сотни ключей реестров. В настоящее время для сокрытия вредоносного поведения внутри легитимной активности большинство вирусописателей используют внедрение кода. Однако перехват COM позволяет запускать код в контексте легитимного процесса, к примеру, браузера.

По словам исследователей, для добавления DLL даже не требуется загрузка. "Поскольку большинство ключей затрагивались сразу же при запуске целевого процесса, некоторые из них даже не требовали выполнения целевого процесса для уже запущенного процесса, такого как Explorer.exe" – сообщили исследователи.

С помощью описанной экспертами техники злоумышленники могут вполне легально загружать и запускать вредоносное ПО в обход обнаружения без необходимости внедрения кода.

COM – технологический стандарт от компании Microsoft, предназначенный для создания программного обеспечения на основе взаимодействующих компонентов объекта, каждый из которых может использоваться во многих программах одновременно.

 

Securitylab