Эксплойт-кит Angler обходит средства защиты Microsoft EMET

Александр Панасенко 07 Июня 2016 - 09:06

Общее

Windows

Вредоносные программы

...

Специалисты компании FireEye обратили внимание на появление новой разновидности Angler, одного из наиболее распространённых эксплойт-китов для Windows. Она успешно обходит защиту последней версии разработанного Microsoft пакета EMET, эксплуатирует уязвимости во Flash и Silverlight и доставляет троян-вымогатель TeslaCrypt.

EMET (Enhanced Mitigation Experience Toolkit) — это бесплатное приложение Microsoft. Оно сводит воедино все настройки безопасности Windows и может быть использовано в качестве дополнительного уровня защиты от вредоносных программ в дополнение к файрволлу и антивирусу. Исследователи неоднократно предупреждали, что EMET небезупречен, и его можно обмануть. Теперь создатели Angler продемонстрировали это на практике.

Экслойты Angler, изученные специалистами FireEye, используют подпрограммы, встроенные в компонент Flash Player под названием Flash.ocx и относящуюся к Silverlight динамическую библиотеку Coreclr.dll для вызова функций управления памятью VirtualProtect и VirtualAlloc. Это позволяет им обойти и защиту памяти DEP, и эвристики, основанные на проверке адресов возврата, пишет xakep.ru.

EAF, один из компонентов EMET, призван затруднить доступ к таблицам адресов функций Windows API для шелл-кода. Другой компонент, EAF+, следит за тем, чтобы адреса на стеке вызовов не выходили за разумные пределы, замечает расхождение между указателем стека и указателем фрейма и проверяет обращения к таблицам адресов библиотек KERNEL32, NTDLL и KERNELBASE и к заголовкам исполняемых файлов некоторых модулей. Однако новым эксплойтам Angler ни EAF, ни EAF+ не помеха.

Защита от методов возвратно-ориентированного программирования (ROP), которую обеспечивает EMET, тоже не срабатывает, потому что эти эксплойты обходятся без них.

Специалисты FireEye признают, что простого и быстрого решения этой проблемы нет, и рекомендуют организациям вовремя обновлять программное обеспечение. Это поспособствует сокращению числа уязвимостей и уменьшит поле деятельности для эксплойтов.

обратили внимание на появление новой разновидности Angler, одного из наиболее распространённых эксплойт-китов для Windows. Она успешно обходит защиту последней версии разработанного Microsoft пакета EMET, эксплуатирует уязвимости во Flash и Silverlight и доставляет троян-вымогатель TeslaCrypt." />

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 21 Июля 2025 - 10:02

Соответствие законодательству РФ Общее

Суд восстановил сотрудницу, уволенную после передачи ее функций ИИ

Преображенский суд Москвы постановил восстановить на работе сотрудницу коммерческой компании, уволенную после передачи её трудовых функций искусственному интеллекту (ИИ).

Как сообщает ТАСС, в распоряжении агентства оказалось решение суда по иску бывшего категорийного менеджера компании «Алиса».

После масштабного внедрения нейросетевых технологий и систем с использованием ИИ в 2024 году её рабочий день был сокращён, а уровень оплаты труда — понижен.

С новыми условиями истица не согласилась и в итоге была уволена, после чего обратилась в суд.

«Исковые требования Рожновой А. Н. удовлетворить частично. Признать незаконным и отменить приказ ООО "Алиса" об увольнении Рожновой. Восстановить Рожнову на работе в должности категорийного менеджера отдела закупок ООО "Алиса".

Взыскать с ООО "Алиса" в пользу Рожновой заработную плату за время вынужденного прогула, компенсацию за задержку выплаты зарплаты и компенсацию морального вреда», — говорится в решении суда.

С доводами работодателя о том, что увольнение было связано с нарушениями трудового договора, суд не согласился.