Mockingjay — новый способ инъекции вредоноса в обход антивирусов

Mockingjay — новый способ инъекции вредоноса в обход антивирусов

Mockingjay — новый способ инъекции вредоноса в обход антивирусов

Новый способ инъекции вредоносной составляющей, получивший имя Mockingjay, позволяет атакующим обойти защитные системы и выполнить злонамеренный код в скомпрометированных системах.

На Mockingjay указали исследователи из компании Security Joes. В отчёте специалисты пишут следующее:

«Интересно, что инъекция осуществляется без выделения специального места, установки разрешений и даже запуска потока. Уникальность этого метода также в том, что для его реализации достаточно уязвимой DLL и копирования кода в нужный раздел».

Таким образом, по классификации этот способ можно отнести к «внедрению кода», который позволяет злоумышленникам помещать вредонос в процесс и обходить защитные программы.

Довольно популярной техникой является внедрение DLL, переносимых исполняемых файлов (Portable Executable, PE), а также перехват выполнения потока и process hollowing. Эксперты подчёркивают, что каждый из этих методов требует набор определённых системных вызовов и API Windows.

Но Mockingjay отличается тем, что избавляет атакующего от необходимости запуска API Windows, которые, как правило, мониторятся защитными решениями. Для этого вектор задействует уже существующие переносимые исполняемые файлы Windows, содержащие дефолтный блок памяти, защищённый правами Read-Write-Execute (RWX).

 

Взять, к примеру, библиотеку msys-2.0.dll, которая идёт с 16 КБ доступного пространства RWX. Это делает её идеальным кандидатом для инъекции вредоносного кода. Могут быть и другие уязвимые DLL с подходящими характеристиками, предупреждают специалисты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Прокуратура Москвы рассказала о новом скрипте мошенников

Мошенники начали использовать новый сценарий обмана, представляясь сотрудниками службы по защите прав потребителей. Под предлогом «спасения сбережений» от якобы кражи, злоумышленники убеждают жертв передать наличные деньги курьерам. Один из последних случаев закончился хищением 5 млн рублей у пожилой пары в Москве.

О появлении новой схемы сообщил ТАСС со ссылкой на прокуратуру Москвы. По данным ведомства, мошенники действовали под видом представителей службы по защите прав потребителей и выманили крупную сумму у 78-летнего москвича и его супруги.

«Новая "маска" телефонных мошенников — теперь они представляются службой защиты прав потребителей. Именно из этой "службы" позвонил 78-летнему москвичу "ведущий сотрудник". Некий мужчина, представившийся Алексеем Федоровичем, сообщил, что деньги пенсионера похищены, но можно их вернуть. Для этого необходимо выполнять все указания и придумать кодовое слово для дальнейшего общения», — приводит ТАСС выдержку из сообщения надзорного ведомства.

По легенде мошенников, на счет одного из супругов должна была поступить компенсация, которую требовалось передать «специалистам» службы через курьеров. Пенсионеры несколько раз снимали крупные суммы со своих счетов и передавали деньги людям, называвшим согласованное кодовое слово. В итоге они лишились около 5 млн рублей.

«Кодовое слово — верный признак мошенничества. Как только по телефону просят передать сбережения курьеру — прекратите общение, положите трубку. Остались сомнения — самостоятельно проверьте информацию, позвонив в тот орган или организацию, от имени которых якобы поступил звонок», — предупредили в прокуратуре Москвы.

Ранее аферисты уже использовали похожие схемы, включая случаи, когда жертв просили не передавать деньги лично, а оставлять их в почтовых ящиках. При этом структура сценариев и легенд остаётся неизменной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru