Защитник Windows сможет детектировать вредоносные отладчики в системе

Защитник Windows сможет детектировать вредоносные отладчики в системе

Защитник Windows научился детектировать вредоносное использование программ вроде sethc.exe или utilman.exe. С помощью отладчика Image File Execution Options они могут стать ступенью для запуска бэкдоров.

В реестре операционной системы Windows есть ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Он позволяет пользователям назначать программам отладчики, которые будут автоматически запускаться при старте самой программы.

Такой способ позволяет разработчикам легко отлаживать свои программы во время их запуска. Настроить дебаггер довольно просто — надо указать в значении ключа Image File Execution Options (IFEO) программу, которую надо отладить, а также отладчик для нее.

Пример ниже показывает вариант, когда программа Notepad2.exe назначается в качестве отладчика Notepad.exe:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe
"debugger"="d:\notepad2\notepad2.exe /z"

Само собой, эта функция не могла пройти мимо киберпреступников, ведь ее легко можно использовать для автоматического запуска вредоносных программ. Например, значение ключа IFEO может быть создано попавшим в систему вредоносом для последующего автоматического запуска бэкдоров.

Злоумышленники могут использовать функцию «залипания» клавиш (Sticky Keys), за которую отвечает программа sethc.exe — для ее активации нужно пять раз подряд нажать клавишу Shift. Или диспетчер служебных программ (Utility Manager, utilman.exe) — ее можно запустить сочетанием клавиш Windows+U.

Чтобы защитить пользователей от подобных атак, в Microsoft оснастили Защитник Windows функцией детектирования изменения ключа IFEO. Такие угрозы будут распознаваться как Win32/AccessibilityEscalation, а встроенная антивирусная программа будет удалять вредоносное значение ключа.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Эксперт запустил сайт, на котором собраны уязвимости в коде вредоносов

Исследователь в области кибербезопасности Джон Пейдж запустил специальный веб-ресурс, на котором собраны уязвимости в коде популярных семейств вредоносных программ. Пейдж выразил надежду, что другие специалисты будут пользоваться информацией о багах для нейтрализации и удаления зловредов со скомпрометированных хостов.

Новый сайт получил имя «MalVuln», его можно посетить по адресу malvuln.com. Сам ресурс очень похож на аналогичные площадки, где выкладываются и сортируются уязвимости в коде. В случае проекта Пейджа там присутствуют имена уязвимых вредоносных программ, технические описания уязвимостей, а также содержится код эксплойтов.

По словам самого создателя MalVuln, он поднял сайт от скуки за время самоизоляции, к которой многих вынудила коронавирусная инфекция COVID-19. При этом Пейдж отметил, что ранее ничего подобного не было, поэтому его проект можно считать в какой-то степени уникальным.

В настоящее время MalVuln насчитывает 45 уязвимостей, часть которых содержится в актуальных и действующих вредоносах. Однако на ресурсе Пейджа перечислены бреши и в старых семействах (например, Bayrob).

Специалист просит обратить внимание, что на сегодняшний день на сайте размещены только те уязвимости, о которых знал он. Однако в будущем сторонние эксперты смогут сообщать о других багах вредоносных программ.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru