Инъекция кода в процессы по методу Pool Party обманет любую EDR-систему
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Инъекция кода в процессы по методу Pool Party обманет любую EDR-систему

Татьяна Никитина 08 Декабря 2023 - 15:44
...
Инъекция кода в процессы по методу Pool Party обманет любую EDR-систему

Эксперты SafeBreach разработали метод внедрения кода в память процессов, использующий пулы потоков Windows для сокрытия его исполнения. Тестирование показало, что атаку Pool Party не способны выявить даже лидеры рынка EDR-решений.

Инъекция кода в процессы позволяет злоумышленникам обойти антивирусы: такие заражения не оставляют в системе следов в виде файлов, которые можно было бы проанализировать. В последние годы многие вендоры ОС и EDR усилили защиту от подобных атак за счет блокировки известных техник либо жесткого ограничения последствий.

Чтобы понять, каким образом бестелесный зловред сможет обойти EDR, исследователям пришлось изучить современный подход к детектированию таких угроз ИБ-продуктами этого класса. Как оказалось, они производят оценку по примитиву выполнения — лишь одному элементарному действию из трех, необходимых для инъекции в процесс (еще выделение блока памяти и запись туда кода).

 

Это открытие подсказало экспертам, как скрыть бесфайлового зловреда от EDR: создать примитив выполнения, основанный лишь на allocate и write, а в качестве триггера шелл-кода использовать легитимное действие — например, запись в безобидный файл.

Прекрасным кандидатом для такого трюка оказался пул потоков режима пользователя в Windows, а точнее, четыре компонента: фабрика рабочих ролей, управляющая рабочими потоками, и три очереди.

По результатам исследования были созданы восемь разных техник инъекции кода; одна использует подпрограмму запуска фабрики ролей, другая — очередь задач, еще пять — очередь завершения ввода-вывода, а восьмая — очередь таймера. Поскольку пул потоков совместно используется процессами Windows, метод Pool Party работает на любом из них.

Для тестирования были выбраны пять EDR-решений:

  • Palo Alto Cortex,
  • SentinelOne EDR,
  • CrowdStrike Falcon,
  • Microsoft Defender for Endpoint,
  • Cybereason EDR.

Во всех случаях эффективность Pool Party (всех восьми вариантов) составила 100%, то есть ни один защитный продукт не смог обнаружить или предотвратить инъекцию. Вендоры уже поставлены в известность.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Фейковые аптеки и изъятие питомцев: как обманывают любителей кошек и собак
Екатерина Быстрова 21 Октября 2025 - 12:37
МошенничествоОнлайн-мошенничество Домашние пользователи F6
Фейковые аптеки и изъятие питомцев: как обманывают любителей кошек и собак

Домашние питомцы приносят радость, но иногда становятся причиной неожиданных проблем — особенно, если на вас выйдут кибермошенники. Эксперты по кибербезопасности из F6 рассказали о самых распространённых схемах обмана, с которыми сталкиваются владельцы кошек и собак.

1. Фейковые зооаптеки

После того как часть популярных импортных ветпрепаратов пропала с прилавков российских магазинов, многие владельцы животных начали заказывать лекарства через интернет.

Этим и пользуются злоумышленники — создают фальшивые сайты и телеграм-каналы «ветеринарных аптек», где предлагают купить дефицитные средства от блох и клещей. Оплатить просят сразу, а товара, разумеется, нет.

Как защититься: не покупайте лекарства через мессенджеры и чаты. Проверяйте сайты новых зоомагазинов через сервисы WHOIS — если домен зарегистрирован всего несколько дней назад, это тревожный знак.

2. Угроза «изъятия животных»

Ещё одна схема — телефонные звонки от «жилищной инспекции». Мошенники узнают, сколько животных живёт в квартире, а потом пугают «превышением лимита» и «изъятием» питомцев. Чтобы «решить вопрос», жертву просят продиктовать код из СМС. Дальше всё по классике — рассказы о «взломе личного кабинета», «подозрительных переводах» и просьбы срочно отправить деньги на «безопасный счёт».

Как защититься: не разговаривайте с неизвестными, не переходите по ссылкам и не называйте никому коды из СМС.

3. Фейковые голосования

Даже если у вас нет питомца, вас могут втянуть в мошенническое «голосование». Преступники рассылают ссылки вроде «проголосуйте за котика в конкурсе», маскируясь под друзей или знакомых. На самом деле по ссылке может быть фишинговый сайт, где у вас украдут доступ к мессенджеру или почте.

Как защититься: не переходите по ссылкам, если сообщение пришло от незнакомого человека. Если от знакомого — уточните по телефону: скорее всего, его аккаунт уже взломан.

4. Ложные сборы на помощь животным

В соцсетях и чатах часто появляются трогательные посты о бездомных животных, которых «срочно нужно спасти». Обычно такие сообщения сопровождаются фотографиями из интернета и просьбой перевести деньги на личную карту.

Как защититься: если хотите помочь животным — делайте пожертвования только через официальные сайты известных благотворительных организаций.

Золотухин подчёркивает: мошенники часто играют на эмоциях, особенно когда речь идёт о домашних питомцах. Поэтому любые просьбы «о помощи» или «покупке редких лекарств» стоит проверять с холодной головой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В августе число DDoS-атак на интернет-провайдеров в России выросло на 86%
Новость
В августе число DDoS-атак на интернет-провайдеров в России в...
В Google Messages появилось распознавание обнажёнки в видео
Новость
В Google Messages появилось распознавание обнажёнки в видео
Indeed PAM стал совместим с РЕД ОС для контроля привилегированного доступа
Новость
Indeed PAM стал совместим с РЕД ОС для контроля привилегиров...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.