НОВОСТИ Найден способ обхода защиты Windows 10 от вымогателей

DOMINUS_EDEM

Выдающийся
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
ЮБИЛЕЙНАЯ ЛЕНТА

DOMINUS_EDEM

Выдающийся
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
1 Июн 2018
Сообщения
1,101
Реакции
389
Репутация
1
Род занятий

Электронные кошельки, Пробив информации

Метод заключается во внедрении вредоносной DLL-библиотеки в процесс explorer.exe на этапе запуска.

Исследователь в области кибербезопасности Соя Аояма продемонстрировал метод обхода функции защиты от программ-вымогателей Controlled Folder Access («Контролируемый доступ к папкам»), представленной в Windows 10. Данный функционал, являющийся частью Windows Defender, служит для предотвращения модификации неизвестными приложениями файлов в защищенных папках. Изменения могут осуществляться только программами из «белого» списка, помеченными как таковые пользователем или по умолчанию Microsoft.

Метод заключается во внедрении вредоносной DLL-библиотеки в процесс explorer.exe на этапе запуска. Поскольку Explorer по умолчанию находится в белом списке, внедренная в него DLL-библиотека получит возможность обойти защиту Controlled Folder Access. Как пояснил исследователь, explorer.exe загружает DLL-библиотеки из списка ключа реестра HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers. По умолчанию при запуске Explorer загружает Shell.dll из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32. Для внедрения вредоносной DLL-библиотеки Аояма просто создал ключ HKCU\Software\Classes\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32 и установил в качестве значения вредоносный файл. Таким образом, при перезапуске explorer.exe вместо Shell.dll будет запускаться вредоносная DLL-библиотека.

Видео:

При тестировании атака осталась незамеченной не только антивирусом Windows Defender, но и другими защитными решениями, включая Avast, ESET, Malwarebytes Premium и McAfee (все продукты имеют функцию защиты от вымогательского ПО).

Перед выступлением на конференции DerbyCon Аояма предоставил Microsoft информацию об уязвимости, включая PoC-код, однако в компании не посчитали нужным выплачивать специалисту награду или выпускать соответствующий патч. Представители Microsoft обосновали решение тем, что проблема может быть проэксплуатирована в случае, если компьютер уже скомпрометирован. Кроме того, атака затрагивает только одну жертву и не предоставляет возможность повышения привилегий.

Подробнее:

Пожалуйста Авторизуйтесь или Зарегистрируйтесь для просмотра скрытого текста.

 

barboskin

Выдающийся
ДРУЗЬЯ ФОРУМА
ЮБИЛЕЙНАЯ ЛЕНТА

barboskin

Выдающийся
ДРУЗЬЯ ФОРУМА
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
3 Июл 2018
Сообщения
1,127
Реакции
1,041
Репутация
0

granula

Участник
ЮБИЛЕЙНАЯ ЛЕНТА

granula

Участник
ЮБИЛЕЙНАЯ ЛЕНТА
Регистрация
13 Июн 2018
Сообщения
17
Реакции
2
Репутация
0
Сверху