17:29 12.09.2018
Михаил Родионов опубликовал запись

Приложения UWP помогают вредоносному ПО сохранять персистентность

image

Представлен способ, позволяющий вредоносному ПО сохранять свое присутствие на зараженной системе после перезагрузки.

Норвежский исследователь безопасности Оддвар Мое (Oddvar Moe) придумал новый трюк, позволяющий вредоносному ПО оставаться на зараженной системе даже после ее перезагрузки. Существует целый ряд способов, позволяющих вредоносным программам сохранять персистентность, например, модификация секторов загрузки, взлом Windows COM или DLL и пр. Однако наиболее популярный метод заключается в добавлении в реестр Windows ключей реестра, вызывающих процесс вредоносного ПО во время загрузки.

Мое представил новый способ использования реестра Windows, с помощью которого злоумышленники могут заставить ОС запускать вредоносное ПО после перезагрузки. Способ работает только на Windows 10 и только с приложениями, разработанными для Универсальной платформы Windows (UWP).

Как пояснил исследователь изданию ZDNet, способ должен работать с любым приложением UWP, но эффективен лишь с приложениями UWP, автоматически запускаемыми ОС после перезагрузки, такими как Cortana и «Люди».

Способ заключается в том, что сразу же после заражения системы вредоносное ПО добавляет ключ реестра, модифицирующий настройки загрузки приложения UWP. Когда жертва в следующий раз перезагрузит компьютер, добавленный ключ введет приложение в режим отладки и опционально запустит инструмент для отладки, чтобы пользователь мог выяснить проблему. По словам Мое, злоумышленники могут модифицировать приложение для отладки как угодно, в том числе для запуска вредоносного процесса.

Плюс предложенного метода заключается в том, что взломанное приложение (Cortana или «Люди») не появляются в списке автоматически запускающихся программ и поэтому не вызывают подозрений. Кроме того, техника не требует наличия привилегий администратора для добавления ключей в реестр. Атакующий должен лишь заставить жертву загрузить вредоносное ПО (например, с помощью социальной инженерии или атаки drive-by).

Универсальная платформа Windows (Universal Windows Platform) – платформа, созданная Microsoft и впервые представленная в Windows 10. Целью данной платформы является помощь в создании универсальных приложений, запускаемых как на Windows 10, так и на Windows 10 Mobile без изменения в коде.

Голосовать +2
Просмотров: 44
Адрес записи: 
Необходимо загрузить аватар
Выразите свою индивидуальность, загрузив уникальный аватар (картинка пользователя) или выбрав наиболее подходящий из предлагаемой галереи аватаров.
Правила
закрыть

Правила публикации комментариев

Публикуя комментарии, Вы несете ответственность согласно законодательству Украины.

Запрещается:
  • публиковать комментарии, которые пропагандируют деятельность, прямо запрещенную законодательством Украины;
  • оставлять комментарии, не относящиеся непосредственно к опубликованному материалу;
  • использовать в комментариях ненормативную лексику (мат);
  • оскорблять в комментариях других посетителей, людей и организации;
  • публиковать комментарии, носящие рекламный характер;
  • использовать при написании комментария транслит (запись украинских или русских слов латинскими символами), предложения, состоящие из эрративов (например, так называемый олбанский йазыгг);
  • публиковать комментарии, целиком состоящие из заглавных букв;
  • публиковать односложные комментарии (например, «+1»).

Редакторы оставляют за собой право удалять любые комментарии, не отвечающие указанным требованиям, а при регулярном или грубом пренебрежении Правилами – блокировать пользователю доступ к Порталу. Редакторы не комментируют свои действия и не обсуждают их с пользователями.

Вы не подписаны на комментарии к этому материалу. Оповещать
Сентябрь
пн вт ср чт пт сб вс
          01 02
03 04 05 06 07 08 09
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

Подарки

Войти