Обход ASLR все чаще используется в хакерских атаках

Как сообщают исследователи FireEye, в течение прошлого года в большинстве так называемых APT-атак злоумышленники использовали множество различных методов обхода механизма Address Space Layout Randomization (ASLR), изменяющего расположение в адресном пространстве процесса важных структур. Среди прочего ASLR значительно усложняет эксплуатацию уязвимостей переполнения буфера.

Самым популярным методом, по данным исследователей, является загрузка отдельного non-ASLR модуля, из которых популярными на сегодняшний день можно назвать два: MSVCR71.DLL и HXDS.DLL. Оба вида вредоносных приложений ориентированы на эксплуатацию уязвимостей нулевого дня в Internet Explorer, в том числе недавней CVE-2013-3893 .

По словам Сяобо Чэня (Xiaobo Chen) из FireEye, по умолчанию MSVCR71.DLL встраивается в процесс IE в фиксированном месте в следующих комбинациях ОС и браузера: Windows 7 и Internet Explorer 8, а также Windows 7 и Internet Explorer 9. Вместе с тем, исследователь подчеркивает, что наибольшей популярностью среди злоумышленников пользуется модуль HXDS.DLL, который также пригоден для атаки на указанные версии ОС и web-обозревателя Microsoft.

В заключение эксперты отметили, что несмотря на растущую популярность методов обхода ASLR, этот механизм все еще представляет собой надежный способ защиты от хакерских атак. "ASLR вынуждает нападающую сторону предпринять дополнительные усилия при компрометации системы", - подчеркнул исследователь Дэн Каселден (Dan Caselden).

Ознакомиться с отчетом FireEye можно здесь .