В четверг в Черная шляпа Европа 2017 На конференции по безопасности в Лондоне два исследователя в области безопасности из фирмы по кибербезопасности enSilo продемонстрировали новую технику атаки путем внедрения кода под названием «Доппельгангинг», где все версии Windows считаются уязвимыми.
По мнению исследователей, с помощью этого метода атаки можно обойти даже обновленное современное антивирусное программное обеспечение и выполнить вредоносный код, который уже известен компаниям по безопасности.
Process Doppelganging в чем-то похож на Process Hollowing - метод, использованный злоумышленниками несколько лет назад для преодоления возможностей защиты от угроз, но теперь обнаруживаемый большинством современных основных продуктов безопасности. Но Process Doppelgänging более продвинутый и уклончивый. Это гораздо сложнее обнаружить, не говоря уже о предотвращении.
В отличие от Process Hollowing, Process Doppelgänging использует механизм транзакций NTFS Windows для внесения изменений в исполняемый файл. Внесенные изменения никогда не записываются на диск, поэтому это похоже на бесфайловую атаку, которую нельзя отследить никакими сканерами безопасности и передовыми инструментами криминалистики. Затем измененный исполняемый файл загружается с помощью механизма загрузки процесса Windows.
«Doppelgänging работает за счет использования двух ключевых отличительных функций вместе, чтобы замаскировать загрузку измененного исполняемого файла. Используя транзакции NTFS, мы вносим изменения в исполняемый файл, который никогда не будет записан на диск. Затем мы будем использовать недокументированные детали реализации механизма загрузки процесса для загрузки нашего измененного исполняемого файла, но не раньше, чем откатим изменения, которые мы внесли в исполняемый файл. Результатом этой процедуры является создание процесса из модифицированного исполняемого файла при одновременном развертывании механизмов безопасности в темноте », - говорится в сообщении enSilo. блоге.
Методы уклонения обычно зависят от манипуляций с памятью, но исследователи здесь используют загрузчик Windows и злоупотребляют им для загрузки своего кода, чтобы обойти сканеры безопасности. Исследователи не рассказали, как им это удалось.
На кого это влияет?
Потенциально все версии Операционная система Windows, от Windows Vista до последней версии Windows 10, и многие ведущие антивирусные программы затронуты.
По словам исследователей, патч не может быть выпущен, поскольку атака использует несколько фундаментальных функций и основной процесс механизма загрузки Windows. Однако злоумышленникам также сложно реализовать Doppelgänging, поскольку для этого требуется глубокое понимание двоичных файлов и создания процессов, которые не задокументированы исследователями. Хотя это чувство облегчения!
Полную копию исследовательского материала по Process Doppelgänging можно получить на веб-сайте сайт enSilo где вы также можете зарегистрироваться для участия в бесплатном вебинаре, в котором будет рассказано об атаке и способах защиты от нее.
