Эксперт нашел в коде Conti, REvil и LockBit баги, предотвращающие шифрование - «Новости» » Интернет технологии
sitename
Компания, защищающая от DDoS-атак, пострадала от атаки мощностью 1,5 млрд пакетов в секунду - «Новости»
Компания, защищающая от DDoS-атак, пострадала от атаки мощностью 1,5 млрд пакетов в секунду - «Новости»
США возглавляют мировой рынок инвестиций в шпионское ПО - «Новости»
США возглавляют мировой рынок инвестиций в шпионское ПО - «Новости»
Атака GhostAction привела к раскрытию 3325 секретов - «Новости»
Атака GhostAction привела к раскрытию 3325 секретов - «Новости»
Критическая уязвимость в Chrome принесла специалисту 43 000 долларов - «Новости»
Критическая уязвимость в Chrome принесла специалисту 43 000 долларов - «Новости»
Футболки «Хакера» в продаже - «Новости»
Футболки «Хакера» в продаже - «Новости»
Персональные компьютеры Аквариус
Персональные компьютеры Аквариус
AMD не признаёт поражения на графическом направлении и обещает нокаутировать Nvidia с помощью Instinct MI450 - «Новости сети»
AMD не признаёт поражения на графическом направлении и обещает нокаутировать Nvidia с помощью Instinct MI450 - «Новости сети»
Тест показал, что OLED-монитор «раздражает» выгоранием уже через 18 месяцев использования, но не всё так однозначно - «Новости сети»
Тест показал, что OLED-монитор «раздражает» выгоранием уже через 18 месяцев использования, но не всё так однозначно - «Новости сети»
Отключения мобильного интернета сыграли на руку операторам сотовой связи, провайдерам и продавцам роутеров - «Новости сети»
Отключения мобильного интернета сыграли на руку операторам сотовой связи, провайдерам и продавцам роутеров - «Новости сети»
Intel воскресила легендарный шестиядерник Core i5-10400 под новым именем Core i5-110 - «Новости сети»
Intel воскресила легендарный шестиядерник Core i5-10400 под новым именем Core i5-110 - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » Эксперт нашел в коде Conti, REvil и LockBit баги, предотвращающие шифрование - «Новости»

Специалист по информационной безопасности и багхантер Джон Пейдж (John Page), известный как создатель проекта MalVuln, сообщил, что нашел ряд уязвимостей в распространенных шифровальщиках. Эти баги можно использовать, чтобы прервать работу малвари и остановить самый опасный этап атаки — непосредственно шифрование файлов.


Анализируя код вымогателя Conti, возрожденного REvil, появившегося недавно Black Basta, LockBit и AvosLocker, Пейдж, также известный под псевдонимом hyp3rlinx, обнаружил, что все вредоносы имеют те или иные проблемы. Так, образцы шифровальщиков оказались уязвимы для техники DLL hijacking, которая обычно используется злоумышленниками для внедрения вредоносного кода в легитимные приложения.


Для каждого изученного образца вредоносного ПО исследователь представил отчет, в котором описывает тип обнаруженной уязвимости, прилагает хэш образца, PoC-эксплойт и демонстрационное видео его работы.


Пейдж отмечает, что DLL hijacking работает только в Windows-системах и эксплуатирует то, каким образом приложения ищут и загружают в память нужные им файлы DLL. В силу недостаточной проверки программа может загрузить DLL из-за пределов своего каталога, что приведет к повышению привилегий или выполнению нежелательного кода. В случае Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker эксплоит позволяет выполнить код, останавливающий работу малвари до начала шифрования. Видео ниже демонстрирует такую атаку на REvil. Исследователь отмечает, что другие семейства вымогателей, скорее всего, тоже подвержены этим и подобным уязвимостям.




Исследователь считает, что для защиты от этих семейств шифровальщиков, специальный DLL можно разместить там, где хакеры могут запускать малварь, например, в сетевом каталоге с важными данными. После загрузки такого эксплоита процесс вымогателя должен завершиться до начала шифрования.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалист по информационной безопасности и багхантер Джон Пейдж (John Page), известный как создатель проекта MalVuln, сообщил, что нашел ряд уязвимостей в распространенных шифровальщиках. Эти баги можно использовать, чтобы прервать работу малвари и остановить самый опасный этап атаки — непосредственно шифрование файлов. Анализируя код вымогателя Conti, возрожденного REvil, появившегося недавно Black Basta, LockBit и AvosLocker, Пейдж, также известный под псевдонимом hyp3rlinx, обнаружил, что все вредоносы имеют те или иные проблемы. Так, образцы шифровальщиков оказались уязвимы для техники DLL hijacking, которая обычно используется злоумышленниками для внедрения вредоносного кода в легитимные приложения. Для каждого изученного образца вредоносного ПО исследователь представил отчет, в котором описывает тип обнаруженной уязвимости, прилагает хэш образца, PoC-эксплойт и демонстрационное видео его работы. Пейдж отмечает, что DLL hijacking работает только в Windows-системах и эксплуатирует то, каким образом приложения ищут и загружают в память нужные им файлы DLL. В силу недостаточной проверки программа может загрузить DLL из-за пределов своего каталога, что приведет к повышению привилегий или выполнению нежелательного кода. В случае Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker эксплоит позволяет выполнить код, останавливающий работу малвари до начала шифрования. Видео ниже демонстрирует такую атаку на REvil. Исследователь отмечает, что другие семейства вымогателей, скорее всего, тоже подвержены этим и подобным уязвимостям. Исследователь считает, что для защиты от этих семейств шифровальщиков, специальный DLL можно разместить там, где хакеры могут запускать малварь, например, в сетевом каталоге с важными данными. После загрузки такого эксплоита процесс вымогателя должен завершиться до начала шифрования.
CSS
запостил(а)
Benson
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: