Приложения UWP помогают вредоносному ПО сохранять персистентность
Представлен способ, позволяющий вредоносному ПО сохранять свое присутствие на зараженной системе после перезагрузки.
Норвежский исследователь безопасности Оддвар Мое (Oddvar Moe) придумал новый трюк, позволяющий вредоносному ПО оставаться на зараженной системе даже после ее перезагрузки. Существует целый ряд способов, позволяющих вредоносным программам сохранять персистентность, например, модификация секторов загрузки, взлом Windows COM или DLL и пр. Однако наиболее популярный метод заключается в добавлении в реестр Windows ключей реестра, вызывающих процесс вредоносного ПО во время загрузки. Мое представил новый способ использования реестра Windows, с помощью которого злоумышленники могут заставить ОС запускать вредоносное ПО после перезагрузки. Способ работает только на Windows 10 и только с приложениями, разработанными для Универсальной платформы Windows (UWP).
Как пояснил исследователь изданию ZDNet, способ должен работать с любым приложением UWP, но эффективен лишь с приложениями UWP, автоматически запускаемыми ОС после перезагрузки, такими как Cortana и «Люди».
Способ заключается в том, что сразу же после заражения системы вредоносное ПО добавляет ключ реестра, модифицирующий настройки загрузки приложения UWP. Когда жертва в следующий раз перезагрузит компьютер, добавленный ключ введет приложение в режим отладки и опционально запустит инструмент для отладки, чтобы пользователь мог выяснить проблему. По словам Мое, злоумышленники могут модифицировать приложение для отладки как угодно, в том числе для запуска вредоносного процесса.
Плюс предложенного метода заключается в том, что взломанное приложение (Cortana или «Люди») не появляются в списке автоматически запускающихся программ и поэтому не вызывают подозрений. Кроме того, техника не требует наличия привилегий администратора для добавления ключей в реестр. Атакующий должен лишь заставить жертву загрузить вредоносное ПО (например, с помощью социальной инженерии или атаки drive-by).
Универсальная платформа Windows (Universal Windows Platform) – платформа, созданная Microsoft и впервые представленная в Windows 10. Целью данной платформы является помощь в создании универсальных приложений, запускаемых как на Windows 10, так и на Windows 10 Mobile без изменения в коде.