24.02.2024

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Обход ASLR все чаще используется в хакерских атаках

Как сообщают исследователи FireEye, в течение прошлого года в большинстве так называемых APT-атак хакеры использовали множество различных методов обхода механизма Address Space Layout Randomization (ASLR), изменяющего расположение в адресном пространстве процесса важных структур. Среди прочего ASLR значительно усложняет эксплуатацию уязвимостей переполнения буфера.

Самым популярным методом, по данным исследователей, является загрузка отдельного non-ASLR модуля, из которых популярными на сегодняшний день можно назвать два: MSVCR71.DLL и HXDS.DLL. Оба вида вредоносных приложений ориентированы на эксплуатацию 0day уязвимостей в Internet Explorer, в том числе недавней CVE-2013-3893.

По умолчанию MSVCR71.DLL встраивается в процесс IE в фиксированном месте в следующих комбинациях ОС и браузера: Windows 7 и Internet Explorer 8, а также Windows 7 и Internet Explorer 9. Вместе с тем, исследователь подчеркивает, что наибольшей популярностью среди хакеров пользуется модуль HXDS.DLL, который также пригоден для атаки на указанные версии ОС и web-обозревателя Microsoft.

В заключение эксперты отметили, что несмотря на растущую популярность методов обхода ASLR, этот механизм все еще представляет собой надежный способ защиты от хакерских атак. Ознакомиться с отчетом FireEye можно здесь.