Мир: Пакет эксплоитов Angler оснащен техникой обхода EMET

0

Обновленная версия известного пакета эксплоитов Angler оснащена техникой обхода Enhanced Mitigation Experience Toolkit (EMET) от Microsoft. Об этом сообщили исследователи компании FireEye, обнаружившие успешную эксплатацию уязвимостей в Silverlight и Adobe Flash. EMET – это бесплатная утилита от Microsoft, которая позволяет защититься от эксплуатации уязвимостей, связанных с повреждением памяти. Она обладает следующим функционалом для предотвращения эксплуатации уязвимостей:

  1. ASR
  2. EAF
  3. EAF+
  4. Caller Check
  5. SimExecFlow
  6. StackPivot
  7. MemProt

Согласно анализу FireEye, Angler использует комплексный многоуровневый обфусцированный код для сокрытия эксплуатации уязвимости и обхода механизмов защиты EMET. По мнению экспертов, Angler является самым передовым на сегодняшний день пакетом эксплоитов, использующим оригинальные техники обфускации и эксплуатации.


Ранее злоумышленники осуществляли попытки обхода EMET, используя необычные ROP-техники для обхода защиты DEP. Авторы Angler пошли более изощренным путем. Они решили воспользоваться встроенными в Flash.ocx и Coreclr.dll механизмами обращений к методам VirtualProtect и VirtualAlloc. Такая техника позволяет обойти защиту DEP и эвристику, основанную на проверке валидности возвращаемого адреса в памяти.

Таким образом, эксплоит к Silverlight использует механизмы coreclr.dll для обхода DEP и выполнения шеллкода. Эксплоит к Flash использует Flash.ocx для вызова VirtualProtect, успешного обхода DEP и запуска шеллкода. Техника эксплуатации уязвимости в Silverlight позволила вирусописателям полностью обойти EAF и EAF+ фильтры EMET и успешно выполнить код. Подробный анализ вредоноса и техник обхода EMET доступен в блоге FireEye. (FireEye/NovostIT)