10月27日,网络安全公司enSilo的研究团队披露了一种称为“AtomBombing”的新攻击方式,可以针对各个版本的Windows注入恶意代码,并绕过当前所有防恶意软件感染系统的安全解决方案,危及用户PC。
该技术被称为AtomBombing,因为它依赖于底层的Windows atom tables来利用系统。 Atom tables用于支持Windows其他应用程序功能,储存字符串和标识符。
enSilo研究团队表示,通过将恶意代码写入原子表并强制用一个合法程序检索此代码后,安全软件将无法检测到该攻击。甚至,已经检索到该代码的合法程序可以被操纵以执行恶意功能。
研究人员说:
“例如,假设攻击者能够说服用户运行恶意可执行文件evil.exe。计算机上安装的任何类型的应用程序级防火墙都会阻止该可执行文件的通信。为了克服这个问题,evil.exe必须找到一种方法来操纵合法程序,如Web浏览器,以便合法程序代表evil.exe进行通信。”
如果攻击者使用AtomBombing技术,他们将能够绕过安全产品,提取敏感信息,截取屏幕截图和访问加密密码。
有一些已知的并曾经出现过的代码注入技术,防病毒软件供应商可以更新其签名来防止端点泄露。 然而,作为一种新技术,enSilo说这种方法能够绕过当前的防病毒软件,以及当前所有防端点渗透解决方案。
由于AtomBombing利用Windows底层机制,而不是依赖安全漏洞或破碎的代码来利用机器,没有修复程序或补丁程序可用。
正如研究团队所指出的,唯一可能减轻此攻击的方法是深入API并监控任何可疑的更改。
它只是黑客工具箱中的其中一个攻击,像这样的设计缺陷的问题将永远被他们利用,最好的防御是更了解它 ,特别是当没有可用的解决方案的时候。
