Nhar il-Ħamis, fil- BlackHat Ewropa 2017 konferenza tas-sigurtà f'Londra, żewġ riċerkaturi tas-sigurtà mid-ditta taċ-ċibersigurtà 'enSilo' urew teknika ġdida ta' attakk ta' injezzjoni ta' kodiċi msejħa "Proċess Doppelganging," fejn il-verżjonijiet kollha tal-Windows jingħad li huma vulnerabbli.
Skont ir-riċerkaturi, il-metodu tal-attakk jista 'jintuża biex jevita anke softwer AV modern aġġornat u jesegwixxi kodiċijiet malizzjużi li diġà huma magħrufa mill-kumpaniji tas-sigurtà.
Process Doppelganging huwa kemmxejn simili għal Process Hollowing - teknika użata mill-attakkanti ftit snin ilu biex jaqsmu l-kapaċitajiet ta 'mitigazzjoni tal-prodotti tas-sigurtà iżda issa skoperti mill-biċċa l-kbira tal-prodotti tas-sigurtà ewlenin tal-lum. Iżda, il-Proċess Doppelgänging huwa aktar avvanzat u evażiv. Huwa ħafna aktar diffiċli li tiskopri - aħseb u ara tipprevjeni.
B'differenza mill-Proċess Hollowing, Process Doppelgänging juża l-mekkaniżmu tal-Windows tat-Tranżazzjonijiet NTFS biex jagħmel bidliet f'fajl eżekutibbli. Il-bidliet li saru qatt ma jinkitbu fuq id-diska, għalhekk tixbaħ bħal attakk bla fajl, li ma jistax jiġi ssorveljat minn xi skaners tas-sigurtà u għodda forensika avvanzata. L-eżekutibbli modifikat imbagħad jitgħabba bl-użu tal-mekkaniżmu tat-tagħbija tal-proċess tal-Windows.
“Doppelgänging jaħdem billi juża żewġ karatteristiċi distinti ewlenin flimkien biex jaħbu t-tagħbija ta’ eżekutibbli modifikat. Billi nużaw tranżazzjonijiet NTFS, nagħmlu bidliet għal fajl eżekutibbli li qatt mhu se jkun attwalment impenjat fuq disk. Imbagħad se nużaw dettalji ta' implimentazzjoni mhux dokumentati tal-mekkaniżmu tat-tagħbija tal-proċess biex tagħbija l-eżekutibbli modifikat tagħna, iżda mhux qabel ma nġibu lura l-bidliet li għamilna lill-eżekutibbli. Ir-riżultat ta’ din il-proċedura qed joħloq proċess mill-eżekutibbli modifikat, filwaqt li skjerati mekkaniżmi ta’ sigurtà fid-dlam,” jinqara enSilo. blog post.
It-tekniki ta 'evażjoni normalment jiddependu fuq il-manipulazzjoni tal-memorja, iżda r-riċerkaturi hawnhekk jużaw windows loader u jabbużaw minnu biex jgħabbu l-kodiċi tagħhom biex jevadu l-iskaners tas-sigurtà. Ir-riċerkaturi ma qalux kif għamlu dan.
Min Jaffettwa Dan?
Potenzjalment, il-verżjonijiet kollha ta ' Sistema operattiva Windows, mill-Windows Vista għall-aħħar verżjoni ta' Windows 10, u ħafna softwer AV ewlieni huma affettwati.
Skont ir-riċerkaturi, m'hemm l-ebda mod li tista' tinħareġ garża peress li l-attakk jieħu vantaġġ minn bosta karatteristiċi fundamentali u proċess ewlieni tal-mekkaniżmu tat-tagħbija tat-twieqi. Madankollu, huwa wkoll diffiċli għall-attakkanti li jimplimentaw Doppelgänging peress li jeħtieġ fehim qawwi tal-Binaries u l-kreazzjonijiet tal-proċess li mhux dokumentat mir-riċerkaturi. Huwa sens ta 'serħan għalkemm!
Kopja sħiħa tal-materjal tar-riċerka dwar il-Proċess Doppelgänging hija disponibbli mill- websajt enSilo fejn tista' wkoll tirreġistra għal webinar b'xejn li se tħares lejn l-attakk u kif tiddefendi kontrih.