研究人员警告：恶意软件可利用合法Windows功能将恶意代码注入到其他进程

安全研究人员发现了一种新方法，可使恶意软件在不被杀软和其他终端安全系统检测到的情况下，将恶意代码注入其他进程。

该新方法是由安全公司Ensilo的研究人员设计的，因为依赖Windows的原子表机制，被命名为AtomBombing(原子弹)。这些特殊的表是由操作系统提供的，可被用于在应用程序间共享数据。

Ensilo研究人员塔尔·利伯曼在博客中说：“我们发现，黑客可向原子表中写入恶意代码，迫使合法程序从该表中取出恶意代码。然后，含有恶意代码的合法程序可被操纵来执行该恶意代码。”

目前，该新代码注入技术还不能被杀软和终端安全程序检测，因为它是基于合法功能的。而且，原子表机制在所有Windows系列操作系统中都有用到，由于根本不能算是漏洞，也就无法打上补丁。

恶意软件程序出于各种原因采用代码注入技术。比如说，银行木马会向浏览器进程注入恶意代码，目的是监视和修改本地显示的网站——通常是银行网页。这能让它们盗取登录凭证和支付卡信息，或者秘密重定向交易到它们的账户。

代码注入还可被用于绕过各种限制，让恶意程序可以读取本应只被特定进程访问的某些数据。例如，可利用代码注入来盗取其他应用程序中的加密口令，或者在恶意进程本身没有所需权限的情况下截屏用户桌面。

著名代码注入技术并不多，很多终端安全产品都有机制可以检测。

然而，作为新型代码注入技术，“原子炸弹”可以绕过杀软和其他终端渗透防御解决方案。

安全公司Bitdefender高级电子威胁分析师李维·阿塞尼表示，即便攻击不利用软件漏洞，安全厂商也可以检测并封锁恶意负载。只要恶意负载确实被执行，且试图注入恶意代码到合法应用程序中，该尝试依然会被检出并锁定，因为安全厂商通常会监视进程和服务的整个执行生命周期。

一位微软代表在电子邮件声明中表示：为辅助免受恶意软件感染，微软鼓励其客户培养良好上网习惯，包括在点击网页链接、打开未知文件或接受文件传输时保持警惕。“恶意软件要能利用代码注入技术，那系统必须是早已被感染的了。”