В черной шляпе, эксперты из отчета SafeBreach по-разному вредоносная программа может заразить другого процесса с собственным кодом. Спойлер: это много.
Лас-Вегас—Существует причина, почему мы обращаемся к компьютерным вирусам и устройств или процессов как «зараженный». Когда вирусы были новые, и программы были разработаны для COM файлов, заражая программу, был простой. Вирус дописывается свой код в конец целевого и переписал самая первая инструкция с прыжка с этим кодом. Последнее наставление от вируса началось выполнение регулярных функций—программа очень ранняя форма инжекционный процесс.
Перенесемся в современный мир, и возможности являются более сложными и многочисленными. На конференции Black шляпа, пара исследователей из SafeBreach, договора на оценку и снижение рисков безопасности, представила исчерпывающий обзор всех способов одна программа может внедрить код в другой. Их сессии не будет до четверга, но мы их догнали впереди брифинг.
Соучредитель и генеральный директор Ицик Котлер и ВП исследований безопасности Амит Кляйн, изложенных в свою команду собрать, курировать и продемонстрировать все возможные способы вредоносное кодер может поставить под угрозу другие процессы. Поначалу они решили, что они нашли шесть или семь, но они, как заведенные с 20 вариациях, сводится к десяти. На поклон к популярной культуре, презентации подзаголовок «должен поймать их всех».
Процесс впрыска для всех
Я упомянул мою мысль о обычный COM-программы вирусы Котлера, и он согласился, что это был первый пример процесса впрыски. «Важно помнить, что com-файлов и DOS не имеют никакой безопасности», — сказал он. «Сегодня Microsoft предлагает безопасность для каждого».
Котлер и Кляйн впервые обследовали все те приемы, которые были использованы для того чтобы ввести код в программах Windows, отбрасывая тех, кто не жизнеспособный, и обнаружили, что они по-прежнему было много.
Я не буду вдаваться в подробности о самих методов, за исключением отметить, что вместе с этой коллекцией, Котлера и Кляйн также создан новый они окрестили Bombi стека. На их черной презентации шляпе, они будут выпускать инструмент под названием Pinjectra, который реализует каждый из собранной техники.
Кому Он Нужен?
Pinjectra-это инструмент с открытым исходным кодом, в свободном доступе для всех. Технически подкованные потребители могут использовать его для проверки способности пакета безопасности. Группы корпоративной безопасности может сделать то же самое с их защитой конечных точек. И конечно, вредоносные программы шифровальщики могли бы изучить код, чтобы получить некоторые новые идеи.
Я спросил у Котлера, почему он поместил этот инструмент в руках плохих парней. «Я занимаюсь наступательной безопасности в течение 15 лет. Это мое убеждение, что, когда мы не публикуем материал, это не значит, что плохих парней нет,» он ответил. «Это просто означает, что мы как сообщество не реагировать. Игнорируя реальность не исправить».
Он отметил, что инструмент Pinjectra не имеет никакого вредоносного. Если ваша безопасность не защищает против конкретной атаки, вы увидите всплывающее сообщение «Привет мир», не более того. «Да, люди могут меняться», — признался он. «Но они могут изменить почти все зло».
Почему Microsoft ремонтировать его?
Я спросил, почему Microsoft не просто пропатчить ОС для предотвращения этих атак процесс. «Конечно, я не могу говорить за них, но эти методы могут быть использованы для законных целей», — сказал он. «Они могут понадобиться для поддержки устаревших приложений. Некоторые можно использовать для отладки. Ничего в процессе литья-Это изначально плохо».
Почему ваш продукт безопасности делать то, что Microsoft не может? «У вас есть выбор в вашем продукте безопасности», — сказал Котлер. «Вы понимаете свои ограничения. Может быть, вы знаете, он ломает старые программы, поэтому запрет устаревших программ. Может быть, технология запатентована и недоступна для Microsoft.»
Очевидно, процесс впрыска с нами остаться, потому что это было и хорошо и плохо использует. Но не пугайтесь. Если вы защитили свои устройства с мощным набором безопасности, у вас есть несколько уровней защиты, которые должны держать вас безопасным. Они включают предотвращение загрузка вредоносного кода, распознавание и удаление его после загрузки, выявление и предотвращение его вредоносного поведения, броня процессе потерпевший от манипуляций, и многое другое. Да, есть много отверстий для нападения, но так как их называют, защита.
