Регионы памяти, или Как я не туда шеллкод загрузил

Все чаще в сети мелькает информация про выполнение кода в памяти, внедрение шеллкода, BYOI-методы. Может показаться, что почти все проблемы с антивирусами могут решиться, если найдется способ помещения нагрузки в память. Действительно, раньше это было отличной панацеей, но времена меняются. Современные антивирусы научились определять и обнаруживать в том числе ранее неизвестные угрозы путем анализа регионов памяти. В докладе пойдет речь о том, насколько важно учитывать и определять верное место для полезной нагрузки, как предотвратить множество детектов антивирусом и как атакующему оставаться скрытым от глаз защитных средств. Мы изучим различные методы внедрения, используя как популярные Mapping Injection, Function Stomping, Transacted Hollowing, так и более изощренные варианты, основанные на злоупотреблении фабричным способом инстанцирования COM-объектов. Помимо прочего, исследуем артефакты, возникающие в регионах, и найдем ответ на вопрос «Куда помещать шеллкод при инъекциях?». Михаил Жмайло CICADA8 (Центр инноваций «МТС»)