बिहीबार, मा ब्ल्याकह्याट यूरोप २०१। लन्डनमा सुरक्षा सम्मेलन, साइबर सुरक्षा फर्म 'enSilo' का दुई सुरक्षा अन्वेषकहरूले नयाँ कोड ईन्जेक्शन आक्रमण प्रविधि प्रदर्शन गरेको छ "Doppelganging प्रक्रिया," जहाँ विन्डोज को सबै संस्करणहरु कमजोर हुन भनिन्छ।
अन्वेषकहरूका अनुसार आक्रमण गर्ने विधि अद्यावधिक गरिएको आधुनिक एभी सफ्टवेयरलाई बाइपास गर्न र खराब कम्पनीहरू कार्यान्वयन गर्न प्रयोग गर्न सकिन्छ जुन सुरक्षा कम्पनीहरूलाई पहिल्यै थाहा छ।
प्रक्रिया डोपेलग्याing्गिंग प्रोसेस होल्भिंगसँग मिल्दोजुल्दो छ - एक प्रविधि जसले केही वर्ष अघि आक्रमणकारीहरूले सुरक्षा उत्पादनहरूको शमन क्षमताहरू पार गर्न प्रयोग गर्यो तर अहिले आजका मुख्य सुरक्षा उत्पादहरूले पत्ता लगाएका छन्। तर, प्रक्रिया Doppelgänging अधिक उन्नत र छिटो छ। यो पत्ता लगाउन धेरै गाह्रो छ - रोक्न दिनुहोस् एक्लै।
प्रक्रिया होलिंग विपरीत, प्रक्रिया डोपेलगिä्गले एक एक्जिक्युटेबल फाइलमा परिवर्तन गर्न NTFS लेनदेनको विन्डोज संयन्त्रको उपयोग गर्दछ। परिवर्तनहरू कहिले पनि डिस्कमा लेखिएको हुँदैन, त्यसैले यो फाइललेस आक्रमणको जस्तो देखिन्छ, जुन कुनै सुरक्षा स्क्यानर र उन्नत फोरेंसिक उपकरणहरूले ट्र्याक गर्न सक्दैन। परिमार्जित कार्यान्वयन योग्य त्यसपछि विन्डोज प्रक्रिया लोडि mechanism मेकानिमेसन प्रयोग गरेर लोड हुन्छ।
"Doppelgänging दुई कुञ्जी भिन्न सुविधाहरू एक साथ परिमार्जित कार्यान्वयन योग्यको लोडि mas मास्क गर्न प्रयोग गरेर काम गर्दछ। NTFS लेनदेनको प्रयोग गरेर, हामी कार्यान्वयन योग्य फाइलमा परिवर्तन गर्दछौं जुन वास्तवमा डिस्कमा प्रतिवद्ध हुने छैन। त्यसपछि हामी प्रक्रिया लोडि mechanism मेकानिमेसनको Undocumented कार्यान्वयन विवरणहरू प्रयोग गर्नेछौं हाम्रो परिमार्जित कार्यान्वयन योग्य लोड गर्नका लागि, तर हामीले कार्यान्वयन योग्यमा गरेका परिवर्तन फिर्ता रोलिंग गर्नु अघि होइन। यस प्रक्रियाको नतिजाले परिमार्जित कार्यान्वयन योग्यबाट प्रक्रिया सिर्जना गर्दैछ, अन्धकारमा सुरक्षा ब्यवस्थालाई तैनाथ गर्दा, ”एक एनएसलो पढ्छ ब्लग पोस्ट.
चोरी प्रविधिको सामान्यतया मेमोरी हेरफेरमा निर्भर गर्दछ, तर यहाँ अन्वेषकहरूले विन्डोज लोडर प्रयोग गर्छन् र सुरक्षा स्क्यानरहरूबाट बच्नको लागि उनीहरूको कोड लोड गर्न दुर्व्यवहार गर्छन्। तिनीहरूले कसरी गरे भनेर अनुसन्धानकर्ताहरूले भनेनन्।
कसले यो असर गर्छ?
सम्भावित रूपमा, सबै संस्करणहरू विन्डोज अपरेटिंग प्रणाली, Windows Vista बाट पछिल्लो संस्करणमा विन्डोज 10, र धेरै अग्रणी AV सफ्टवेयर प्रभावित छन्।
अन्वेषकहरूको भनाइ अनुसार, प्याच जारी गर्न सकिने कुनै तरिका छैन किनकि आक्रमणले विन्डोज लोडि mechanism मेकेनिमेसनको धेरै मौलिक सुविधाहरू र कोर प्रक्रियाको फाइदा लिन्छ। यद्यपि आक्रमणकारीहरूलाई डोपेलगिंग लागू गर्न पनि गाह्रो छ किनकि यसका लागि बाइनरी र प्रक्रिया क्रिएसनको बारेमा गहिरो समझ चाहिन्छ जुन अन्वेषकहरूद्वारा अभिलेख राखिएको छैन। यद्यपि यो राहतको अनुभव हो!
प्रक्रिया Doppelgänging मा अनुसन्धान सामग्री को एक पूर्ण प्रतिलिपि उपलब्ध छ enSilo वेबसाइट जहाँ तपाईं एक नि: शुल्क वेबिनारको लागि पनि दर्ता गर्न सक्नुहुन्छ जुन आक्रमणलाई हेर्नेछ र यसको विरूद्ध कसरी बचाउँदछ।
