- 22,779
- 46
- 8 Ноя 2022
Следов вторжения через LazyHook не найдёт даже самый внимательный сканер.
Новый проект в открытом доступе привлёк внимание технического сообщества из-за попытки обойти современные механизмы защиты рабочих станций. Разработчик под ником hwbp опубликовал на GitHub фреймворк LazyHook , демонстрирующий способ незаметного перехвата системных функций через аппаратные точки останова и механизм обработчиков исключений. Такой подход позволяет запускать произвольный код внутри доверенной цепочки вызовов, что вводит в заблуждение средства поведенческого контроля.
В описании проекта отмечается, что многие защитные решения анализируют происхождение вызовов, проверяют цифровую подпись модулей и отслеживают подозрительные последовательности системных функций. LazyHook подменяет контекст так, что инициатором операций выглядит библиотека Microsoft, а не сторонний компонент. Поскольку метод не изменяет память процесса, проверки целостности пропускают вмешательство.
Создатель проекта подчёркивает использование сочетания аппаратных регистров отладки и перенаправления выполнения через единичные пошаговые исключения. В таком режиме обработчик отслеживает обращение к целевой функции и временно переключает поток на заранее заданную логику, после чего возвращает выполнение в исходный код. Для сохранения корректного поведения предусмотрена возможность вызвать оригинальную функцию без активной точки останова.
В репозитории приведены примеры применения. Один из них иллюстрирует вмешательство в работу MessageBoxA с заменой отображаемого текста. Другой демонстрирует перехват CreateFileA для фиксации операций с файлами без изменения работы приложения. Отдельно показано вмешательство в механизм AMSI , где проверка данных искусственно помечается как безопасная. Авторы подчёркивают, что это иллюстрация риска для защитных систем, полагающихся на доверенную цепочку вызовов.
Разработчик обращает внимание, что подобные методы могут использоваться только в рамках легальных задач — от учебных целей до моделирования атак в контролируемой среде. Он предупреждает, что попытки применить подобные техники для обхода реальных средств защиты без разрешения нарушают законодательство.
Новый проект в открытом доступе привлёк внимание технического сообщества из-за попытки обойти современные механизмы защиты рабочих станций. Разработчик под ником hwbp опубликовал на GitHub фреймворк LazyHook , демонстрирующий способ незаметного перехвата системных функций через аппаратные точки останова и механизм обработчиков исключений. Такой подход позволяет запускать произвольный код внутри доверенной цепочки вызовов, что вводит в заблуждение средства поведенческого контроля.
В описании проекта отмечается, что многие защитные решения анализируют происхождение вызовов, проверяют цифровую подпись модулей и отслеживают подозрительные последовательности системных функций. LazyHook подменяет контекст так, что инициатором операций выглядит библиотека Microsoft, а не сторонний компонент. Поскольку метод не изменяет память процесса, проверки целостности пропускают вмешательство.
Создатель проекта подчёркивает использование сочетания аппаратных регистров отладки и перенаправления выполнения через единичные пошаговые исключения. В таком режиме обработчик отслеживает обращение к целевой функции и временно переключает поток на заранее заданную логику, после чего возвращает выполнение в исходный код. Для сохранения корректного поведения предусмотрена возможность вызвать оригинальную функцию без активной точки останова.
В репозитории приведены примеры применения. Один из них иллюстрирует вмешательство в работу MessageBoxA с заменой отображаемого текста. Другой демонстрирует перехват CreateFileA для фиксации операций с файлами без изменения работы приложения. Отдельно показано вмешательство в механизм AMSI , где проверка данных искусственно помечается как безопасная. Авторы подчёркивают, что это иллюстрация риска для защитных систем, полагающихся на доверенную цепочку вызовов.
Разработчик обращает внимание, что подобные методы могут использоваться только в рамках легальных задач — от учебных целей до моделирования атак в контролируемой среде. Он предупреждает, что попытки применить подобные техники для обхода реальных средств защиты без разрешения нарушают законодательство.
- Источник новости
- www.securitylab.ru
