Эксперт нашел в коде Conti, REvil и LockBit баги, предотвращающие шифрование - «Новости» » Интернет технологии
sitename
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
У ИИ-модели OpenAI GPT-5.6 Sol нашли такие же уязвимости, как у Fable 5 - «Новости сети»
У ИИ-модели OpenAI GPT-5.6 Sol нашли такие же уязвимости, как у Fable 5 - «Новости сети»
Linux-уязвимость Januscape позволяет атаковать хост из гостевой VM - «Новости»
Linux-уязвимость Januscape позволяет атаковать хост из гостевой VM - «Новости»
Участника группы Scattered Spider отследили через идентификатор установки Windows - «Новости»
Участника группы Scattered Spider отследили через идентификатор установки Windows - «Новости»
Атака TrojPix использует видеокабели для извлечения данных - «Новости»
Атака TrojPix использует видеокабели для извлечения данных - «Новости»
Браузер DuckDuckGo научился блокировать видеорекламу на YouTube - «Новости»
Браузер DuckDuckGo научился блокировать видеорекламу на YouTube - «Новости»
Малварь ChocoPoC распространяется под видом фальшивых эксплоитов - «Новости»
Малварь ChocoPoC распространяется под видом фальшивых эксплоитов - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » Эксперт нашел в коде Conti, REvil и LockBit баги, предотвращающие шифрование - «Новости»

Специалист по информационной безопасности и багхантер Джон Пейдж (John Page), известный как создатель проекта MalVuln, сообщил, что нашел ряд уязвимостей в распространенных шифровальщиках. Эти баги можно использовать, чтобы прервать работу малвари и остановить самый опасный этап атаки — непосредственно шифрование файлов.


Анализируя код вымогателя Conti, возрожденного REvil, появившегося недавно Black Basta, LockBit и AvosLocker, Пейдж, также известный под псевдонимом hyp3rlinx, обнаружил, что все вредоносы имеют те или иные проблемы. Так, образцы шифровальщиков оказались уязвимы для техники DLL hijacking, которая обычно используется злоумышленниками для внедрения вредоносного кода в легитимные приложения.


Для каждого изученного образца вредоносного ПО исследователь представил отчет, в котором описывает тип обнаруженной уязвимости, прилагает хэш образца, PoC-эксплойт и демонстрационное видео его работы.


Пейдж отмечает, что DLL hijacking работает только в Windows-системах и эксплуатирует то, каким образом приложения ищут и загружают в память нужные им файлы DLL. В силу недостаточной проверки программа может загрузить DLL из-за пределов своего каталога, что приведет к повышению привилегий или выполнению нежелательного кода. В случае Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker эксплоит позволяет выполнить код, останавливающий работу малвари до начала шифрования. Видео ниже демонстрирует такую атаку на REvil. Исследователь отмечает, что другие семейства вымогателей, скорее всего, тоже подвержены этим и подобным уязвимостям.




Исследователь считает, что для защиты от этих семейств шифровальщиков, специальный DLL можно разместить там, где хакеры могут запускать малварь, например, в сетевом каталоге с важными данными. После загрузки такого эксплоита процесс вымогателя должен завершиться до начала шифрования.


Специалист по информационной безопасности и багхантер Джон Пейдж (John Page), известный как создатель проекта MalVuln, сообщил, что нашел ряд уязвимостей в распространенных шифровальщиках. Эти баги можно использовать, чтобы прервать работу малвари и остановить самый опасный этап атаки — непосредственно шифрование файлов. Анализируя код вымогателя Conti, возрожденного REvil, появившегося недавно Black Basta, LockBit и AvosLocker, Пейдж, также известный под псевдонимом hyp3rlinx, обнаружил, что все вредоносы имеют те или иные проблемы. Так, образцы шифровальщиков оказались уязвимы для техники DLL hijacking, которая обычно используется злоумышленниками для внедрения вредоносного кода в легитимные приложения. Для каждого изученного образца вредоносного ПО исследователь представил отчет, в котором описывает тип обнаруженной уязвимости, прилагает хэш образца, PoC-эксплойт и демонстрационное видео его работы. Пейдж отмечает, что DLL hijacking работает только в Windows-системах и эксплуатирует то, каким образом приложения ищут и загружают в память нужные им файлы DLL. В силу недостаточной проверки программа может загрузить DLL из-за пределов своего каталога, что приведет к повышению привилегий или выполнению нежелательного кода. В случае Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker эксплоит позволяет выполнить код, останавливающий работу малвари до начала шифрования. Видео ниже демонстрирует такую атаку на REvil. Исследователь отмечает, что другие семейства вымогателей, скорее всего, тоже подвержены этим и подобным уязвимостям. Исследователь считает, что для защиты от этих семейств шифровальщиков, специальный DLL можно разместить там, где хакеры могут запускать малварь, например, в сетевом каталоге с важными данными. После загрузки такого эксплоита процесс вымогателя должен завершиться до начала шифрования.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS
запостил(а)
Benson
Вернуться назад

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: