Добавить новость
Главные новости Москвы
Москва
Календарь
Октябрь
2024
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

Новый метод кибератаки позволяет обходить современные системы обнаружения угроз

0
Компания «Газинформсервис» 

Исследователи из западной ИБ-компании Outflank рассказали о новом методе внедрения кода под названием Early Cascade Injection, который позволяет обходить современные системы обнаружения угроз (EDR).

Новая техника задействует особенности процесса создания приложений в Windows и минимизирует риск обнаружения, эффективно конкурируя с популярными методами вроде Early Bird APC Injection.

В основе Early Cascade Injection лежит вмешательство в создание процессов на уровне пользовательского режима. Метод объединяет преимущества Early Bird APC Injection и недавно разработанного EDR-Preloading. В отличие от ранних методов, новый подход устраняет необходимость использования межпроцессного вызова асинхронных процедур (APC), что снижает вероятность обнаружения.

Техника Early Cascade Injection способна эффективно обходить системы обнаружения, так как позволяет внедрять код до того, как EDR успевает активировать защитные механизмы. Например, при загрузке первых DLL-модулей EDR часто вставляет свои хуки, чтобы отслеживать активность. Новый метод вмешивается как раз на этой стадии, что может сорвать запуск таких защитных модулей.

«Атака, связанная с внедрением в процессы создания приложений Windows на ранней стадии, делает её особенно "скрытной", так как она не требует модификации системных прав доступа и исключает подозрительные взаимодействия между процессами. Данная уязвимость может быть использована для обхода стандартных систем обнаружения угроз в целях загрузки вредоносного кода. С наблюдением за "активностью" процессов на устройстве поможет справиться платформа расширенной аналитики Ankey ASAP, позволяющая детектировать аномалии в поведении пользователей и сущностей. Для пресечения использования подобного рода уязвимостей следует обновлять системные компоненты, включая критически важные библиотеки, а также мониторить изменения в поведении инициированных процессов», — говорит Никита Титаренко, инженер-аналитик Лаборатории исследований кибербезопасности «Газинформсервиса».




Москва на Moscow.media
Частные объявления сегодня





Rss.plus


Все новости за 24 часа


Спорт в Москве

Новости спорта


Новости тенниса
Анна Курникова

Анну Курникову заметили в Майами в инвалидном кресле






Smi24.net

Накануне старта губернаторской гонки ключевые посты в Поморье покинули сразу несколько чиновников

В Крюкове по городской программе ввели логистический центр на 700 рабочих мест

Петров купил дом беременной жене за ₽59 млн после продажи квартиры в Москве

Захарова указала на дискриминацию ФРГ по отношению к блокадникам Ленинграда


Спонсорский контент

Все новости smi24.net