E安全10月28日讯，enSilo的安全研究人员发现一种新技术—将恶意软件代码注入合法进程，从而帮助恶意软件绕过安全解决方案。

这种技术被称为“AtomBombing”，围绕Windows的原子表（atom table）下手的恶意代码注入技术。Atom Table是Windows的操作系统，Microsoft对Atom Table的描述如下：

“Atom table是存储字符串和对应标识符的系统定义表。应用程序将atom table中放进字符串，并接收16位整数（被称之为“原子”atom），其可以用来访问字符串。对应的字符串被称之为“原子名”（atom name）。”

基本上，这些都是共享表，在这里，应用程序将信息储存在需定期访问的字符串、对象和其它类型的数据上。因为它们是共享表，因此，各种应用均能访问或修改这些表内的数据。

AtomBombing技术帮助恶意软件绕过安全解决方案

发现该技术的enSilo研究人员表示，该恶意软件能修改atom table，欺骗合法应用程序执行恶意活动。

enSilo的Tal Liberman解释道，“许多安全产品使用可信进程的白名单。如果攻击者能将恶意代码注入其中一些可信进程，就能轻松绕过安全产品。”

此外，Liberman表示，AtomBombing还帮助恶意软件执行Man-in-the-Browser（MitB）攻击，这是银行木马常用的攻击媒介。

通过利用AtomBombing，Liberman表示，恶意软件还对对用户屏幕进行截屏，访问加密密码或采取白名单应用程序能执行的其它活动。

无法打补丁，修复AtomBombing

enSilo的研究人员表示，AtomBombing影响了所有Windows版本。这是一个设计缺陷，而非漏洞，也就是说，Microsoft无法在不改变整个OS运作模式的情况下打补丁修复。

除了AtomBombinb，过去发现的其它代码注入技术还包括SQL注入、XSS攻击、hotpatching、code hooking等。

本月初，Trend Micro研究人员发现了名为“FastPOS”的PoS恶意软件变种。该恶意软件滥用Windows邮件槽（Windows Mailslots）机制在从受感染系统漏出之前存储数据。

E安全门户网站10月27日更多网络安全资讯：

• ForeScout：黑客可在3分钟之内入侵物联网设备

• 外媒：Blackgear网络间谍组织将目标从台湾转向日本

• 乌克兰黑客组织CyberHunta泄露俄罗斯官员机密信息

• 海豚捕杀季引发“匿名者”新一轮的DDoS攻击

• “菜鸟”黑客给Mirai新添 “弱智”功能

• .............

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。