Quanto è grave "AtomBombing" e AV potrebbe essere fatto per rilevarlo?

4

Da AtomBombing: un'iniezione di codice che esclude le attuali soluzioni di sicurezza :

What we found is that a threat actor can write malicious code into an atom table and force a legitimate program to retrieve the malicious code from the table. We also found that the legitimate program, now containing the malicious code, can be manipulated to execute that code.

Diapositive correlate: link

Da AtomBombing: nuovissimo codice di iniezione per Windows :

Here’s a new code injection technique, dubbed AtomBombing, which exploits Windows atom tables and Async Procedure Calls (APC). Currently, this technique goes undetected by common security solutions that focus on preventing infiltration

Poiché il problema non può essere risolto, non esiste alcuna nozione di patch per questo. Pertanto, la risposta diretta alla mitigazione sarebbe quella di tuffarsi tecnicamente nelle chiamate API e monitorare quelle per attività dannose.

D: rallenterebbe la macchina se l'AV monitorasse le chiamate API? AtomBombing è più serio di una iniezione di DLL? È vero che non può essere risolto? È qualcosa di nuovo o solo una vecchia cosa scritta in un blog al giorno d'oggi che è stata testata in win10 ma precedentemente conosciuta?

    
posta pepite 01.11.2016 - 20:17
fonte

2 risposte

2

È importante realizzare un paio di cose:

  1. I sistemi anti-virus non sono progettati per prevenire gli attacchi tanto quanto sono destinati a ripulire i danni dopo che è stato fatto. In pratica stanno rimuovendo malware che è pubblicamente conosciuto.

    È abbastanza ragionevole scrivere un sistema anti-virus per rimuovere il malware conosciuto anche se utilizza la tecnica di Code Injection descritta nell'articolo collegato.

    A volte c'è del malware che non è stato ancora aggiunto al programma Anti-Virus e non può essere ripulito automaticamente. Quindi è sempre meglio Nuke From Oribit se il tuo computer è stato compromesso. (eseguire prima il backup dei file importanti)

  2. Il "difetto che non può essere corretto", se sto leggendo bene, non è affatto un difetto, perché è solo un problema logistico su ciò che il malware può fare una volta eseguito.

    Secondo alcuni standard, se il malware è stato eseguito, non è più la tua macchina (fino a quando non nuke dall'orbita) perché può già fare così tanti danni, indipendentemente da questo 'difetto' nell'articolo collegato.

    L'esecuzione su un account non amministratore può essere utile per ridurre il rischio. Gli account amministrativi hanno accesso all'intero computer, mentre gli account standard possono essere facilmente cancellati in modo sicuro. Quindi, se solo l'account Standard è compromesso, è molto più facile nuke solo per quell'account.

  3. Poiché Windows è un sistema operativo classico, le restrizioni di accesso sono specifiche dell'utente. Qualsiasi restrizione a livello di processo è di solito un ripensamento in ogni caso, viene utilizzata meno frequentemente e ha un effetto limitato.

    I sistemi operativi più recenti come Chrome OS, Android, iOS utilizzano tecniche sandbox e hanno il controllo di accesso specifico per app specifico. In questo modo se esegui il malware solo le autorizzazioni che hai concesso. (nota: a volte il permesso è abbastanza inclusivo, quindi fai attenzione a ciò che approvi.)

    Sfortunatamente, con un sistema operativo classico, quando si esegue il malware ha accesso all'intero account. (o intero computer se si tratta di un account amministratore)

Is this something new

No. "AtomBombing riguarda tutte le versioni di Windows."

    
risposta data 01.11.2016 - 21:28
fonte
1

Questo è serio perché ignora il controllo degli accessi basato sui processi che utilizza la maggior parte delle implementazioni di sicurezza (incluso quella del sistema operativo).

I prodotti di sicurezza che sono specificatamente codificati per proteggersi dall'esatto metodo di sfruttamento nel post possono farlo (ad esempio agganciando ntdll!RtlDispatchAPC syscall e facendo alcuni controlli sugli argomenti e sullo stack). Tuttavia, molti di loro probabilmente non hanno tale codice prima che questo venga divulgato e potrebbero esserci altre syscalls ugualmente vulnerabili.

Il vero colpevole sono le API "Atom" che rendono molto più facile il trasporto di un lungo codice dannoso (shellcode) nel processo di destinazione rispetto ai metodi tradizionali. Questa classe di problemi non può essere risolta a meno che questa funzione non venga rimossa / modificata in modi incompatibili. Questo è probabilmente il motivo per cui alcuni affermano che questo è "non risolvibile".

Tuttavia, sono state introdotte modifiche per problemi "non risolvibili" molto più grandi in Windows (come l'introduzione della corretta protezione della memoria in NT e UAC in Vista). Potrebbero rompere alcuni software inizialmente, ma la maggior parte verrà aggiornata alla fine.

    
risposta data 08.11.2016 - 19:46
fonte

Leggi altre domande sui tag