Защитник Windows сможет детектировать вредоносные отладчики в системе

Защитник Windows сможет детектировать вредоносные отладчики в системе

Защитник Windows научился детектировать вредоносное использование программ вроде sethc.exe или utilman.exe. С помощью отладчика Image File Execution Options они могут стать ступенью для запуска бэкдоров.

В реестре операционной системы Windows есть ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Он позволяет пользователям назначать программам отладчики, которые будут автоматически запускаться при старте самой программы.

Такой способ позволяет разработчикам легко отлаживать свои программы во время их запуска. Настроить дебаггер довольно просто — надо указать в значении ключа Image File Execution Options (IFEO) программу, которую надо отладить, а также отладчик для нее.

Пример ниже показывает вариант, когда программа Notepad2.exe назначается в качестве отладчика Notepad.exe:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe
"debugger"="d:\notepad2\notepad2.exe /z"

Само собой, эта функция не могла пройти мимо киберпреступников, ведь ее легко можно использовать для автоматического запуска вредоносных программ. Например, значение ключа IFEO может быть создано попавшим в систему вредоносом для последующего автоматического запуска бэкдоров.

Злоумышленники могут использовать функцию «залипания» клавиш (Sticky Keys), за которую отвечает программа sethc.exe — для ее активации нужно пять раз подряд нажать клавишу Shift. Или диспетчер служебных программ (Utility Manager, utilman.exe) — ее можно запустить сочетанием клавиш Windows+U.

Чтобы защитить пользователей от подобных атак, в Microsoft оснастили Защитник Windows функцией детектирования изменения ключа IFEO. Такие угрозы будут распознаваться как Win32/AccessibilityEscalation, а встроенная антивирусная программа будет удалять вредоносное значение ключа.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Все об уязвимостях платежных систем на OFFZONE 2022

25–26 августа в Москве состоится третья международная конференция по практической кибербезопасности OFFZONE 2022. Мероприятие пройдет в LOFT HALL #2 и #3 и соберет на своей площадке участников профессионального комьюнити и всех неравнодушных.

На протяжении двух дней параллельно с основной программой на конференции будут работать профильные зоны. Finance.Zone предназначена для тех, кому интересна безопасность банковских и платежных систем. В этом году секция пройдет при партнерстве Payment Village.

В докладной части финансовой зоны специалисты по безопасности расскажут про уязвимости банковских приложений, POS-терминалов и банкоматов, а также про безопасность криптовалюты и смарт-контрактов.

Участники конкурсных активностей самостоятельно протестируют систему защиты банкомата, онлайн-банка и платежных карт. Для конкурса с банкоматом и онлайн-банком потребуется ноутбук с доступом в интернет. Самых способных ждут призы.

OFFZONE проходит в Москве с 2018 года. Она объединяет безопасников, разработчиков, инженеров, исследователей, преподавателей и студентов из десятков стран мира. В центре внимания — только технический контент, посвященный актуальным темам отрасли. Предыдущую конференцию посетили 1600 человек, а своим опытом с участниками поделились более 60 российских и зарубежных экспертов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru