Новый метод позволяет злоумышленникам внедрять вредоносный код в процессы антивирусного ПО, обходя стандартные механизмы защиты. Этот способ был подробно описан исследователем кибербезопасности Two Seven One Three.
Вредоносное внедрение кода: угрозы безопасности
Методы клонирования и внедрения
Злоумышленники создают дубликат защищенной службы, экспортируя и импортируя ключи реестра, что позволяет запускать защищенный процесс с вредоносным кодом. Они изменяют запись в реестре криптографического провайдера Windows, чтобы загрузить вредоносный DLL.
Новый инструмент IAmAntimalware автоматизирует клонирование служб, модификацию провайдеров криптографии и запуск защищенного процесса. Тесты показали успешное внедрение в программы Bitdefender, Trend Micro и Avast.
Меры по снижению риска
Для снижения угрозы рекомендуется мониторинг загрузки модулей, аудит доверенных сертификатов и использование аналитики поведения. Выявление уязвимости подчеркивает конфликт между надежностью антивирусных программ и возможностью злоупотреблений.
