Эксперт нашел в коде Conti, REvil и LockBit баги, предотвращающие шифрование - «Новости» » Интернет технологии
sitename
Энтузиаст построил видеокарту из 8192 копеечных чипов RISC-V - «Новости сети»
Энтузиаст построил видеокарту из 8192 копеечных чипов RISC-V - «Новости сети»
«Джеймс Уэбб» показал самый подробный снимок галактики Центавр А - «Новости сети»
«Джеймс Уэбб» показал самый подробный снимок галактики Центавр А - «Новости сети»
Успех Kingdom Come: Deliverance 2 не помог актёру озвучки Яна Птачека пробиться в игровую индустрию, но открыл дорогу в стримеры - «Новости сети»
Успех Kingdom Come: Deliverance 2 не помог актёру озвучки Яна Птачека пробиться в игровую индустрию, но открыл дорогу в стримеры - «Новости сети»
Больше никаких Burnout и Need for Speed: спустя 30 лет создания гоночных игр Criterion «целиком сосредоточена» на Battlefield - «Новости сети»
Больше никаких Burnout и Need for Speed: спустя 30 лет создания гоночных игр Criterion «целиком сосредоточена» на Battlefield - «Новости сети»
Продажи No Rest for the Wicked в раннем доступе Steam превысили 2 миллиона копий, и «лучшее ещё впереди» - «Новости сети»
Продажи No Rest for the Wicked в раннем доступе Steam превысили 2 миллиона копий, и «лучшее ещё впереди» - «Новости сети»
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » Эксперт нашел в коде Conti, REvil и LockBit баги, предотвращающие шифрование - «Новости»

Специалист по информационной безопасности и багхантер Джон Пейдж (John Page), известный как создатель проекта MalVuln, сообщил, что нашел ряд уязвимостей в распространенных шифровальщиках. Эти баги можно использовать, чтобы прервать работу малвари и остановить самый опасный этап атаки — непосредственно шифрование файлов.


Анализируя код вымогателя Conti, возрожденного REvil, появившегося недавно Black Basta, LockBit и AvosLocker, Пейдж, также известный под псевдонимом hyp3rlinx, обнаружил, что все вредоносы имеют те или иные проблемы. Так, образцы шифровальщиков оказались уязвимы для техники DLL hijacking, которая обычно используется злоумышленниками для внедрения вредоносного кода в легитимные приложения.


Для каждого изученного образца вредоносного ПО исследователь представил отчет, в котором описывает тип обнаруженной уязвимости, прилагает хэш образца, PoC-эксплойт и демонстрационное видео его работы.


Пейдж отмечает, что DLL hijacking работает только в Windows-системах и эксплуатирует то, каким образом приложения ищут и загружают в память нужные им файлы DLL. В силу недостаточной проверки программа может загрузить DLL из-за пределов своего каталога, что приведет к повышению привилегий или выполнению нежелательного кода. В случае Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker эксплоит позволяет выполнить код, останавливающий работу малвари до начала шифрования. Видео ниже демонстрирует такую атаку на REvil. Исследователь отмечает, что другие семейства вымогателей, скорее всего, тоже подвержены этим и подобным уязвимостям.




Исследователь считает, что для защиты от этих семейств шифровальщиков, специальный DLL можно разместить там, где хакеры могут запускать малварь, например, в сетевом каталоге с важными данными. После загрузки такого эксплоита процесс вымогателя должен завершиться до начала шифрования.


Специалист по информационной безопасности и багхантер Джон Пейдж (John Page), известный как создатель проекта MalVuln, сообщил, что нашел ряд уязвимостей в распространенных шифровальщиках. Эти баги можно использовать, чтобы прервать работу малвари и остановить самый опасный этап атаки — непосредственно шифрование файлов. Анализируя код вымогателя Conti, возрожденного REvil, появившегося недавно Black Basta, LockBit и AvosLocker, Пейдж, также известный под псевдонимом hyp3rlinx, обнаружил, что все вредоносы имеют те или иные проблемы. Так, образцы шифровальщиков оказались уязвимы для техники DLL hijacking, которая обычно используется злоумышленниками для внедрения вредоносного кода в легитимные приложения. Для каждого изученного образца вредоносного ПО исследователь представил отчет, в котором описывает тип обнаруженной уязвимости, прилагает хэш образца, PoC-эксплойт и демонстрационное видео его работы. Пейдж отмечает, что DLL hijacking работает только в Windows-системах и эксплуатирует то, каким образом приложения ищут и загружают в память нужные им файлы DLL. В силу недостаточной проверки программа может загрузить DLL из-за пределов своего каталога, что приведет к повышению привилегий или выполнению нежелательного кода. В случае Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker эксплоит позволяет выполнить код, останавливающий работу малвари до начала шифрования. Видео ниже демонстрирует такую атаку на REvil. Исследователь отмечает, что другие семейства вымогателей, скорее всего, тоже подвержены этим и подобным уязвимостям. Исследователь считает, что для защиты от этих семейств шифровальщиков, специальный DLL можно разместить там, где хакеры могут запускать малварь, например, в сетевом каталоге с важными данными. После загрузки такого эксплоита процесс вымогателя должен завершиться до начала шифрования.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS
запостил(а)
Benson
Вернуться назад

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: