A ranar Alhamis, a BlackHat Turai 2017 taron tsaro a Landan, masu binciken tsaro biyu daga kamfanin 'enSilo' na tsaro a intanet sun nuna wata sabuwar hanyar kai hari da allura mai suna "Tsari Doppelganging," inda duk nau'ikan Windows ake cewa suna da rauni.
A cewar masu binciken, ana iya amfani da hanyar kai harin ta hanyar ketare ko da sabuwar manhajar AV ta zamani da aiwatar da munanan lambobin da tuni kamfanonin tsaro suka sani.
Tsarin aiwatar da aiki yana da kamanceceniya da Tsarin Hollowing - wata dabara ce da maharan suka yi amfani da ita a fewan shekarun da suka gabata don ƙetara ikon rage kayan samfuran tsaro amma yanzu yawancin manyan kayayyakin tsaro na yau sun gano su. Amma, Tsarin Doppelgänging ya fi ci gaba da ɓarna. Abu ne mai wahalar gaske gano - balle hana shi.
Ba kamar Tsarin Hollowing ba, Tsarin Doppelgänging yana amfani da tsarin Windows na ma'amaloli NTFS don yin canje-canje ga fayil ɗin da za'a iya aiwatarwa. Canje-canjen da aka yi ba a taɓa rubuta su a kan faifai ba, don haka yana kama da hari na rashin ƙarfi, wanda ba zai iya bin sawu ta hanyar duk wani sikanin tsaro da kayan aikin bincike ba. An ƙaddamar da wanda aka gyara wanda aka yi amfani dashi ta hanyar amfani da tsarin aikin aiwatar da Windows.
“Doppelgänging yana aiki ne ta hanyar amfani da wasu mahimman bayanai guda biyu tare don rufe kayan aikin wanda za'a aiwatar dashi. Ta amfani da ma'amaloli na NTFS, muna yin canje-canje ga fayil ɗin da za'a iya aiwatarwa wanda ba za a taɓa jingina shi ga faifai ba. Sannan zamuyi amfani da cikakkun bayanan aiwatar da kayan aiki na kayan aikin lodi don shigar da wanda aka gyara wanda za'a iya aiwatar dashi, amma ba kafin mirgine sauye-sauyen da mukayi ba. Sakamakon wannan tsarin yana haifar da tsari daga wanda aka canza shi aiki, yayin da aka girke hanyoyin tsaro a cikin duhu, ”in ji enSilo blog post.
Dabaru na ɓatarwa galibi sun dogara ne da magudin ƙwaƙwalwa, amma masu bincike a nan suna amfani da loda windows kuma suna wulaƙanta shi don loda lambar su don guje wa sikanin tsaro. Masu binciken ba su faɗi yadda suka yi ba.
Wanene Wannan Ya Shafa?
Yiwuwa, duk sifofin Tsarin aiki na Windows, daga Windows Vista zuwa sabuwar sigar Windows 10, kuma yawancin manyan software na AV sun shafa.
A cewar masu binciken, babu yadda za a yi a ba da facin kamar yadda harin ya yi amfani da wasu sifofi na asali da kuma yadda ake amfani da kayan aikin windows. Koyaya, yana da wahala ga maharan su aiwatar da Doppelgänging saboda yana buƙatar fahimtar Binaries da abubuwan da aka kirkira wanda ba masu bincike bane suka rubuta su. Yana da ma'anar sauƙi ko da yake!
Ana samun cikakken kwafin kayan binciken akan Tsara Tsarin aiki daga Yanar gizo enSilo inda kuma zaka iya yin rijistar gidan yanar gizo kyauta wanda zai kalli harin da yadda zaka kare shi.