Защиту от вымогателей в Windows 10 можно обойти инъекцией DLL в Explorer
Главная » Новости

Защиту от вымогателей в Windows 10 можно обойти инъекцией DLL в Explorer

Олег Иванов 09 Октября 2018 - 13:03
...
Защиту от вымогателей в Windows 10 можно обойти инъекцией DLL в Explorer

На конференции DerbyCon, прошедшей на прошлой неделе, исследователь в области безопасности рассказал о методе инъекции DLL, который может использовать вредоносная программа для обхода защитной функции Controlled Folder Access («контролируемый доступ к директориям»), которую Microsoft внедрила в Windows 10 для борьбы с вымогателями.

Интересным методом обхода защитной функции поделился Соя Аояма, исследователь безопасности в компании Fujitsu System Integration Laboratories. Способ заключается в инъекции вредоносной DLL-библиотеки в Explorer на этапе запуска процесса.

Нетрудно догадаться, что Explorer по умолчанию находится в белом списке для функции Controlled Folder Access. Следовательно, внедренная в него DLL получит возможность обойти эту защиту операционной системы.

Аояма объясняет, что при запуске процесса explorer.exe он будет загружать библиотеки, которые перечислены в ключе реестра HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers.

По умолчанию explorer запускается и загружает Shell.dll из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32. Чтобы загрузить вместо этого вредоносную библиотеку, Аояма просто создал ключ HKCU\Software\Classes\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32 и указал в качестве значения злонамеренных файл.

Теперь, если процесс Explorer.exe завершить, а затем перезапустить, вредоносная DLL запустится внутри процесса проводника.

Мало того, что эта техника позволяет обойти Controlled Folder Access, она также остается незаметной для Защитника Windows (Windows Defender). Согласно тестам, которые провел Аояма, инъекцию также не заметили и Avast, ESET, Malwarebytes Premium и McAfee. У них у всех есть защита от вымогателей.

Ниже можно посмотреть видео выступления Аоямы на конференции:

Напомним, что в феврале также сообщалось, что Controlled Folder Access можно обойти. Однако там описывался другой способ.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Эксперт НАФИ назвала самые опасные схемы, связанные с поиском работы
Яков Шпунт 18 Июня 2025 - 13:07
МошенничествоДроп (дроппер) Домашние пользователи
Эксперт НАФИ назвала самые опасные схемы, связанные с поиском работы

Эксперт проекта Научно-исследовательского финансового института (НИФИ) Минфина России «Моифинансы.рф» Ольга Дайнеко назвала самыми опасными мошенническими схемами при поиске работы вовлечение в транзит денежных средств и доставку неизвестных посылок.

Как предупредила эксперт в комментарии для «Газеты.ru», подобные «подработки» могут привести к уголовной ответственности.

По её словам, наибольшую опасность представляет деятельность «курьера по особым поручениям», когда соискателю предлагают передавать деньги или посылки, строго следуя инструкциям. Если такая схема связана с незаконной деятельностью, риск оказаться соучастником преступления крайне высок.

Также, по оценке эксперта, потенциальных «дропов» мошенники часто вербуют не напрямую, а через вакансии администраторов групп в соцсетях и мессенджерах. В обязанности таких «администраторов» входит якобы ведение учета средств, сбор пожертвований или призов.

«В подобных случаях человек использует свои банковские карты для приёма и обналичивания поступлений. Это, пожалуй, один из самых опасных видов “подработки” — он грозит обвинением в соучастии в преступлении и уголовным преследованием», — предупреждает Ольга Дайнеко.

По её словам, всё ещё распространены схемы с «вложениями», оплатой обучения или использованием личных банковских карт. Также участились случаи, когда соискателям предлагают заранее оплатить налог на доходы (НДФЛ) — после перевода средств «работодатели» исчезают. Кроме того, мошенники требуют выполнения объёмных заданий под видом тестовых.

Не теряет актуальности и схема с фиктивными покупками на маркетплейсах. Похожим образом действуют и под видом сервисов бронирования или продажи билетов.

В последнее время мошенников всё чаще интересует не только получение денег, но и сбор персональных данных. Это проявляется в требованиях предоставить копии документов, информацию о семье и имущественном положении уже на этапе заполнения анкеты.

С декабря 2024 года начала распространяться схема с фальшивым трудоустройством в пункты выдачи заказов: соискателей вынуждали устанавливать вредоносную программу. Позже также была выявлена схема кредитного мошенничества — займы оформлялись на имена подставных лиц, часто непрофессиональных актёров.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
F6 запустила платформу для жалоб на фишинг, скам и вредоносные ссылки
Новость
F6 запустила платформу для жалоб на фишинг, скам и вредоносн...
Объем рынка СУБД к 2031 году превысит 251 млрд рублей
Новость
Объем рынка СУБД к 2031 году превысит 251 млрд рублей
МВД предлагает ужесточить наказание за незаконное изъятие документов
Новость
МВД предлагает ужесточить наказание за незаконное изъятие до...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.