• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:315

●重點摘要： 1. 資安專家發現一種針對 Atom Table 的新手法稱 AtomBombinb ，可在合法執行緒中注入惡意程式碼以繞過微軟防護機制。 2. 微軟 Atom Tables 是儲存字串與相對應識別碼的系統定義表，應用程式可以將字串、物件及其他類型資料儲存於該表，並取得相對應16-bit 識別碼。 3. 因為是屬於共享資料表，所以應用程式皆可對該表進行存取、改變 Atom Tables 的資料。 4. 因此惡意軟體可藉此修改 Atom Tables 資料，誘使合法的應用程式執行到被注入的惡意程式碼。 5. 而許多防護軟體會將合法應用程式視為白名單，當合法應用程式即使被注入惡意行為，也能因此繞過防護軟體偵測。 6. AtomBombing 也可用來協助惡意軟體進行中間人攻擊，此攻擊手段常用在銀行木馬。 7. 惡意軟體可透過 AtomBombing 擷取受害者的畫面、存取加密密碼以及白名單中的應用程式可以做的任何事。 8. AtomBombing 影響範圍擴及所有 Windows 版本，而壞消息是，資安專家表示這是底層的設計缺陷而不是漏洞，除非微軟改寫整個作業的運作模式，否則無法修復，但這卻不可能。

參考連結：

http://news.softpedia.com/news/malware-abuses-windows-atom-tables-for-novel-code-injection-technique-509721.shtml
http://blog.ensilo.com/atombombing-a-code-injection-that-bypasses-current-security-solutions