¿Qué tan grave es “AtomBombing”, y podría hacerse una AV para detectarlo?

4

De AtomBombing: una inyección de código que omite las soluciones de seguridad actuales :

  

Lo que encontramos es que un actor de amenazas puede escribir código malicioso en una tabla atómica y obligar a un programa legítimo a recuperar el código malicioso de la tabla. También encontramos que el programa legítimo, que ahora contiene el código malicioso, puede manipularse para ejecutar ese código.

Diapositivas relacionadas: enlace

De AtomBombing: Inyección de código nuevo para Windows :

  

Aquí hay una nueva técnica de inyección de código, llamada AtomBombing, que explota las tablas de Windows Atom y las llamadas de procedimiento asíncronas (APC). Actualmente, esta técnica no es detectada por soluciones de seguridad comunes que se centran en prevenir la infiltración

Dado que el problema no se puede solucionar, no hay noción de un parche para esto. Por lo tanto, la respuesta de mitigación directa sería realizar una inmersión técnica en las llamadas a la API y monitorearlas en busca de actividad maliciosa.

P: ¿Ralentizaría la máquina si el AV monitoreara las llamadas a la API? ¿AtomBombing es más serio que una inyección de DLL? ¿Es verdad que no se puede arreglar? ¿Esto es algo nuevo o simplemente algo antiguo escrito en un blog hoy en día que se probó en win10 pero se conocía anteriormente?

    
pregunta pepite 01.11.2016 - 20:17
fuente

2 respuestas

2

Es importante darse cuenta de un par de cosas:

  1. Los sistemas antivirus no están diseñados para prevenir ataques, sino tanto como para eliminar daños una vez que se han realizado. En esencia, están eliminando el malware que se conoce públicamente.

    Es bastante razonable escribir un sistema antivirus para eliminar el malware conocido , incluso si utiliza la técnica de inyección de código descrita en el artículo vinculado.

    A veces hay malware que aún no se ha agregado al programa Anti-Virus y no se puede limpiar automáticamente. Por lo tanto, siempre es mejor utilizar Nuke From Oribit si su computadora se vio comprometida. (haga una copia de seguridad de los archivos importantes primero)

  2. La 'falla que no se puede reparar', si estoy leyendo bien, no es realmente una falla en absoluto, porque es solo un problema logístico sobre lo que puede hacer el malware una vez que se ejecuta.

    Según algunos estándares, si el malware se ha ejecutado, entonces ya no es su máquina (hasta que se dispara desde la órbita) porque ya puede causar mucho daño, independientemente de esta "falla" en el artículo vinculado.

    La ejecución en una cuenta que no sea de administrador puede ser útil para reducir su riesgo. Las cuentas de administrador tienen acceso a toda la computadora, mientras que las cuentas estándar se pueden borrar fácilmente de forma segura. Por lo tanto, si solo se compromete la cuenta estándar, es mucho más fácil bombardear solo esa cuenta.

  3. Debido a que Windows es un sistema operativo clásico, las restricciones de acceso son específicas del usuario. Cualquier restricción de nivel de proceso suele ser una idea de último momento, se usa con menos frecuencia y tiene un efecto limitado.

    Los sistemas operativos más recientes, como Chrome OS, Android, iOS, utilizan técnicas de sandbox y tienen el control de acceso adecuado para cada aplicación. De esta manera, si ejecuta malware, solo tiene los permisos que otorgó. (nota: a veces el permiso es bastante inclusivo, así que tenga cuidado con lo que aprueba).

    Desafortunadamente, con un sistema operativo clásico, cuando ejecutas malware, tiene acceso a toda la cuenta. (o toda la computadora si es una cuenta de administrador)

  

Es esto algo nuevo

No. "AtomBombing afecta a todas las versiones de Windows".

    
respondido por el George Bailey 01.11.2016 - 21:28
fuente
1

Esto es grave porque omite el control de acceso basado en procesos que utilizan la mayoría de las implementaciones de seguridad (incluida la del sistema operativo).

Los productos de seguridad que están específicamente codificados para proteger contra el método exacto de explotación en la publicación pueden hacerlo (por ejemplo, conectando ntdll!RtlDispatchAPC syscall y haciendo algunas comprobaciones en los argumentos y la pila). Sin embargo, es probable que la mayoría de ellos no tengan dicho código antes de que se haya divulgado, y puede que haya otras llamadas igualmente vulnerables.

El verdadero culpable son las API "Atom" que hacen que sea mucho más fácil transportar código malicioso largo (shellcode) en el proceso de destino que los métodos tradicionales. Esta clase de problemas no se puede solucionar a menos que esta característica se elimine / cambie de manera incompatible. Probablemente esta sea la razón por la que algunos afirman que esto es "no corregible".

Sin embargo, se han introducido cambios para problemas "no solucionables" mucho más grandes en Windows antes (como la introducción de la protección de memoria adecuada en NT y UAC en Vista). Pueden romper algún software inicialmente, pero la mayoría se actualizarán para ser compatibles con el tiempo.

    
respondido por el billc.cn 08.11.2016 - 19:46
fuente

Lea otras preguntas en las etiquetas