## Callback Injection: Как хакеры обходят Microsoft Defender, используя легитимные потоки Windows
Стандартные методы запуска вредоносного кода на системах под управлением Windows — такие как CreateRemoteThread, QueueUserAPC или NtCreateThreadEx — давно и надежно детектируются Microsoft Defender. Однако появилась техника, которая позволяет обойти эти защиты, не создавая собственных подозрительных потоков. Вместо этого злоумышленники «одалживают» уже существующие легитимные потоки операционной системы, заставляя их выполнить сторонний код через официальные callback-механизмы ядра.

Эта техника, известная как Callback Injection, представляет собой изощренный способ уклонения от обнаружения. Её суть заключается не в прямой атаке, а в скрытном использовании внутренних механизмов Windows. Атакующий внедряет свой код, используя официальные API для регистрации callback-функций, которые затем выполняются в контексте доверенного системного процесса. Для антивирусных решений, включая Defender, такое поведение выглядит как штатная операция системы, что значительно усложняет его обнаружение на основе сигнатур или эвристического анализа.

Успешное применение Callback Injection отправляет встроенные защитные механизмы Microsoft Defender в «глухой нокаут», демонстрируя уязвимость в логике обнаружения, ориентированной на аномальное создание потоков. Это создает серьезный риск для корпоративных сред, где Defender является основным средством защиты. Техника повышает скрытность продвинутых атак, включая целевое проникновение и выполнение шеллкода во время пентестов или реальных инцидентов, и сигнализирует о необходимости для EDR-решений адаптировать методы детектирования к более сложным моделям поведения.
---
- **Source**: Habr
- **Sector**: The Lab
- **Tags**: кибербезопасность, Microsoft Windows, уклонение от обнаружения, пентестинг, EDR
- **Credibility**: unverified
- **Published**: 2026-04-15 12:53:03
- **ID**: 65596
- **URL**: https://whisperx.ai/en/intel/65596