Новый метод атаки на всевозможные версии Windows невидим для всех антивирусов
Process Doppelganging дает возможность злоумышленникам подменять код легитимных процессов вредным кодом, который хранится в оперативной памяти и не попадает на жёсткий диск.
В рамках конференции Black Hat Europe 2017 специалисты по кибербезопасности описали новый метод компьютерных атак под названием Process Doppelganging.
Профессионалы рассказали, что для применения Process Doppelganging атакующим нужно знать много недокументированных деталей о работе и создании процессов, другими словами навряд ли преступникам удастся просто взять данную технику на вооружение.
Doppelganging использует два главных отдельных элемента совместно, чтобы маскировать загрузку модифицированного исполняемого файла. В то же время вредный код удалось запустить в виде легитимного процесса.
Специалисты безопасности протестировали атаку на продуктах ведущих компаний: Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda.
Атаку не могут найти даже такие продвинутые средства ретроспективного анализа как Volatility. [Атака] очень сходна на Process Hollowing, однако с некоторыми нюансами.
Хакер запускает NTFS Trasnsaction в отношении какого-нибудь доверенного исполняемого файла. Задача состоит в том, чтобы сделать это без использования подозрительных процессов и операций памяти, таковых как SuspendProcess, NtUnmapViewOfSection.
Хорошей новостью является тот факт, что реализация Process Doppelganging имеет огромное количество технических сложностей, поэтому ее смогут выполнить только подкованные злоумышленники. Для этого используются NTFS транзакции. Мы перезаписываем законный файл в контексте транзакции.
По их словам, атака довольно трудна в проведении, так как требует знания «незадокументированных подробностей о создании процессов».
Методика работает, используя особенности механизма транзакций в фирменной файловой системе Windows NTFS. NTFS поддерживает систему метаданных, а еще применяет для хранения информации о файлах специализированные структуры данных, позволяющие улучшить работоспособность, надежность, эффективность применения дискового пространства.