3 заметки с тегом

новость

Найден новый метод атаки на любые версии Windows

Просто процитирую новость, на мой взгляд очень любопытно. Взято отсюда.

На лондонской конференции Black Hat Europe 2017 представлена новая методика инъекции кода Process Doppelgänging (создание двойников процессов). Методика позволяет обходить большую часть сегодняшних продуктов безопасности и работает на всех версиях Windows.

Транзакции NTFS

Эксперты компании enSilo продемонстрировали на Black Hat Europe 2017 новую методику инъекции кода, которая работает под всеми версиями Windows и позволяет обходить большую часть современных средств безопасности.

Методика работает, используя особенности механизма транзакций в фирменной файловой системе Windows NTFS.

«С помощью NTFS-транзакций мы вносим изменения в исполняемый файл, который, впрочем, не попадет на диск. Затем мы используем недокументированные аспекты механизма загрузки процессов для загрузки модифицированного исполняемого файла, но не раньше, чем откатим внесенные нами изменения. В результате этой процедуры запускается процесс именно из измененного исполняемого файла, который при этом не перехватывают защитные средства», — говорится в описании методики.

Антивирусы не видят

Речь идет о бесфайловой атаке: вредоносный код не записывается на диск и потому для большинства антивирусов не виден. К этому большинству относятся разработки всех крупнейших и известнейших мировых разработчиков: ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast, Panda и «Лаборатории Касперского».

Атаку не могут обнаружить даже такие продвинутые средства ретроспективного анализа как Volatility. Цель атаки — позволить вредоносному ПО запускать произвольный (опять же, вредоносный) код на машине жертвы в контексте легитимного процесса.

Атака очень похожа на методику Process Hollowing, однако, как пояснили исследователи, ключевой задачей для них было не использовать никаких «подозрительных» процессов или операций с памятью типа SuspendProcess или NtUnmapViewOfSection.

«Чтобы достичь этой цели мы используем транзакции NTFS. Мы перезаписываем легитимный файл в контексте транзакции. Затем мы создаем секцию из модифицированного файла (в контексте транзакции) и создаем из нее процесс. Как выясняется, сканирование процесса в процессе транзакции проверенными нами антивирусами невозможно (некоторые даже подвисают), а поскольку мы откатываем в итоге транзакцию, наши действия не оставляют никаких следов», — пишут эксперты enSilo.

То есть, с точки зрения антивирусов, вредоносный процесс легитимен и безопасен, в то время как запустившие его злоумышленники могут совершать уже любые действия на атакованной машине.

Атака не для всех

Единственное, что более-менее обнадеживает, это что методика Process Doppelgänging довольно сложна в исполнении. Потенциальным злоумышленникам придется знать множество «незадокументированных аспектов», связанных с созданием процесса, указывают исследователи.

С другой стороны, выпуск патча против этой проблемы невозможен, поскольку методика эксплуатирует не уязвимости, а фундаментальные функции и механизмы запуска любых процессов в Windows.

«По-видимому, эта методика будет использоваться только наиболее продвинутыми специалистами, деятельность которых оплачивают крупные коммерческие структуры и государства, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Маловероятно, чтобы среднестатистический хакер будет обладать необходимыми знаниями. А вот для высокопрофессиональных кибершпионов данная методика выглядит весьма многообещающе»

9 декабря   ntfs   windows   антивирус   новость   уязвимость

Windows станет модульной

Сама новость находится тут. Если честно, то после нескольких лет работы в Linux в качестве ОС на домашнем компьютере я перестаю понимать логику менеджеров Microsoft. Чего только стоит навязывание обновления до «десятки»? Буквально на днях была ситуация, когда время играло критическую роль, но потребовалось перезагрузить ноутбук. Как вы думаете, что он сделал? Он на два (!!!) часа парализовал работу отдела, ибо ему, видите ли, захотелось установить последние обновления. И да, сделать работу было нужно именно на этом ноутбуке! Последующие обновления системы в бухгалтерии ввели весь отдел в панику и снова парализовали работу, на этот раз на полдня. Потому что там компьютеры стояли не самые быстрые. Согласен, можно было бы переустановить систему на более приемлемую для «железа» конкретного компьютера. Но бухгалтерия всегда, на мой взгляд, являлась достаточно «узким» местом, трогать которое, без крайней необходимости, не стоит. Посему там все осталось как было, после моего появления на заводе. За исключением некоторых мелочей.
Впрочем, я ушел от темы. Итак, Windows становится модульной системой. Первой мыслью, которая возникает после прочтения новости — «Серьезно? Как?» Затем вспоминается опыт установки Windows на Mac. Тогда я обнаружил в файловой системе этакий симбиоз linux и «винды». Сейчас Microsoft хочет, не меняя версии ОС (насколько я понял), в корне ее изменить. К этому же стремится Android... Я верю, что в итоге останется только одна операционная система, которая будет результатом симбиоза linux и windows и в которой будут присутствовать все «плюсы» обеих систем. И конечно, отсутствовать «минусы».

2017   android   linux   windows   модульность   новость

Переписка? Приватность? Конституция? Вы о чем?

Меня всё больше и больше «радуют» новости о «тайне переписки», которая, насколько я помню, прописана в Конституции России Одна из последних вообще порадовала. Согласно этой новости нас ждет такое же ограничение на получение информации, как в Китае или Корее.
Плять, я продолжаю «болеть» за jabber :-)