Вирусописатели придумали оригинальный способ обхода EMET для успешной компрометации защищенной системы.
Обновленная версия известного пакета эксплоитов Angler оснащена техникой обхода Enhanced Mitigation Experience Toolkit (EMET) от Microsoft. Об этом сообщили исследователи компании FireEye, обнаружившие успешную эксплатацию уязвимостей в Silverlight и Adobe Flash.
EMET – это бесплатная утилита от Microsoft, которая позволяет защититься от эксплуатации уязвимостей, связанных с повреждением памяти. Она обладает следующим функционалом для предотвращения эксплуатации уязвимостей:
Согласно анализу FireEye, Angler использует комплексный многоуровневый обфусцированный код для сокрытия эксплуатации уязвимости и обхода механизмов защиты EMET. По мнению экспертов, Angler является самым передовым на сегодняшний день пакетом эксплоитов, использующим оригинальные техники обфускации и эксплуатации.
Ранее злоумышленники осуществляли попытки обхода EMET, используя необычные ROP-техники для обхода защиты DEP. Авторы Angler пошли более изощренным путем. Они решили воспользоваться встроенными в Flash.ocx и Coreclr.dll механизмами обращений к методам VirtualProtect и VirtualAlloc. Такая техника позволяет обойти защиту DEP и эвристику, основанную на проверке валидности возвращаемого адреса в памяти.
Таким образом, эксплоит к Silverlight использует механизмы coreclr.dll для обхода DEP и выполнения шеллкода. Эксплоит к Flash использует Flash.ocx для вызова VirtualProtect, успешного обхода DEP и запуска шеллкода.
Техника эксплуатации уязвимости в Silverlight позволила вирусописателям полностью обойти EAF и EAF+ фильтры EMET и успешно выполнить код.
Подробный анализ вредоноса и техник обхода EMET доступен в блоге FireEye.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале