Защиту от вымогателей в Windows 10 можно обойти инъекцией DLL в Explorer
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Защиту от вымогателей в Windows 10 можно обойти инъекцией DLL в Explorer

Олег Иванов 09 Октября 2018 - 13:03
...
Защиту от вымогателей в Windows 10 можно обойти инъекцией DLL в Explorer

На конференции DerbyCon, прошедшей на прошлой неделе, исследователь в области безопасности рассказал о методе инъекции DLL, который может использовать вредоносная программа для обхода защитной функции Controlled Folder Access («контролируемый доступ к директориям»), которую Microsoft внедрила в Windows 10 для борьбы с вымогателями.

Интересным методом обхода защитной функции поделился Соя Аояма, исследователь безопасности в компании Fujitsu System Integration Laboratories. Способ заключается в инъекции вредоносной DLL-библиотеки в Explorer на этапе запуска процесса.

Нетрудно догадаться, что Explorer по умолчанию находится в белом списке для функции Controlled Folder Access. Следовательно, внедренная в него DLL получит возможность обойти эту защиту операционной системы.

Аояма объясняет, что при запуске процесса explorer.exe он будет загружать библиотеки, которые перечислены в ключе реестра HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers.

По умолчанию explorer запускается и загружает Shell.dll из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32. Чтобы загрузить вместо этого вредоносную библиотеку, Аояма просто создал ключ HKCU\Software\Classes\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\InProcServer32 и указал в качестве значения злонамеренных файл.

Теперь, если процесс Explorer.exe завершить, а затем перезапустить, вредоносная DLL запустится внутри процесса проводника.

Мало того, что эта техника позволяет обойти Controlled Folder Access, она также остается незаметной для Защитника Windows (Windows Defender). Согласно тестам, которые провел Аояма, инъекцию также не заметили и Avast, ESET, Malwarebytes Premium и McAfee. У них у всех есть защита от вымогателей.

Ниже можно посмотреть видео выступления Аоямы на конференции:

Напомним, что в феврале также сообщалось, что Controlled Folder Access можно обойти. Однако там описывался другой способ.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК Солар предлагает миграцию с Cloudflare
Яков Шпунт 13 Января 2025 - 14:14
Малый и средний бизнесКорпорации Средства защиты веб-сайтов (приложений)Защита от DDoS CloudFlareГК «Солар»
ГК Солар предлагает миграцию с Cloudflare

Группа компаний «Солар» запустила функцию, позволяющую быстро перенести сайты малого и среднего бизнеса с зарубежного CDN-сервиса Cloudflare на российскую облачную платформу Solar Space.

Эта платформа обеспечивает защиту сайтов от DDoS-атак, злонамеренных ботов и взломов. Миграция осуществляется в несколько шагов и занимает минимум времени.

В ноябре 2024 года Роскомнадзор рекомендовал российским компаниям отказаться от использования Cloudflare. Это связано с внедрением функции ECH (Encrypted Client Hello), которая скрывает данные о сайте, к которому подключается пользователь.

В результате блокировки запрещённых ресурсов могут быть обойдены, что автоматически делает компании, использующие Cloudflare, нарушителями российского законодательства.

Кроме того, Cloudflare требует передачи SSL-сертификатов на свои серверы, что даёт американскому провайдеру доступ ко всем данным, передаваемым между сайтом и пользователем. Это создаёт риск утечек конфиденциальной информации.

Платформа Solar Space включает три ключевых продукта:

  • Web AntiDDoS — защита от атак типа «отказ в обслуживании».
  • Web AntiBot — предотвращение активности вредоносных ботов, которые создают ложные заявки или подбирают пароли.
  • WAF Lite — защита от взломов и подмены контента на сайтах и веб-приложениях.

Сервисы доступны по подписке: их можно подключить как в комплексе, так и по отдельности.

Переход с Cloudflare на Solar Space осуществляется за несколько простых шагов:

  1. Зарегистрироваться в личном кабинете Solar Space.
  2. Нажать кнопку «Импорт из Cloudflare». Все домены автоматически добавятся в личный кабинет.
  3. Верифицировать домены, перенаправить трафик через фильтрующий центр Solar Space, изменив DNS-A-записи, и выбрать тариф.

По словам директора платформы Артема Избаенкова, Solar Space использует передовые технологии на основе искусственного интеллекта, чтобы противостоять современным киберугрозам.

«Традиционные методы защиты, требующие участия специалистов, уже не справляются с профессиональными атаками, которые постоянно эволюционируют благодаря машинному обучению. Наша автоматизированная платформа эффективно нейтрализует угрозы в реальном времени, позволяя клиентам сосредоточиться на развитии бизнеса, а не на отражении атак», — отметил Избаенков.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Игровой движок Godot использовался для заражения 17 000 компьютеров
Новость
Игровой движок Godot использовался для заражения 17 000 комп...
Эксперты предупреждают о лавинообразном росте дипфейк-атак
Новость
Эксперты предупреждают о лавинообразном росте дипфейк-атак
Deceptive Delight: джейлбрейк ИИ-моделей, использующий их благосклонность
Новость
Deceptive Delight: джейлбрейк ИИ-моделей, использующий их бл...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.