Атака Process Doppelganging позволяет обходить антивирусы во всех версиях Windows

Уязвимости, взломы и способы защиты. Вирусы здесь не обсуждаются

Модераторы: Tim308, phantom

Ответить
Аватара пользователя

Автор темы
vovamen82
Постоянный пользователь
Сообщения: 73
Зарегистрирован: 19 окт 2015, 01:03
Репутация: 3
Контактная информация:
Статус: Не в сети

Атака Process Doppelganging позволяет обходить антивирусы во всех версиях Windows

Сообщение vovamen82 » 07 дек 2017, 23:32

Атака Process Doppelganging оказалась успешной в системах, защищенных антивирусами Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda
Сегодня на конференции по компьютерной безопасности Black Hat Europe 2017, которая проходит в Лондоне, два исследователи из компании enSilo описали новую технику внедрения кода, получившую название “Process Doppelganging”.

Новая атака работает на всех версиях Windows и, по мнению экспертов, способна обходить защиту большинства современных антивирусов.

Process Doppelganging напоминает еще одну технику Process Hollowing, но в отличие от нее эксплуатирует механизм NTFS транзакций Windows.

Doppelganging использует два ключевых отдельных элемента вместе, чтобы замаскировать загрузку модифицированного исполняемого файла. С помощью NTFS транзакций можно вносить изменения в исполняемый файл, которые никогда не будут привязаны к диску. Затем недокументированные детали реализации механизма загрузки процесса используются для загрузки модифицированного исполняемого файла. Это делается перед откатом изменений, внесенных в исполняемый файл. Результатом этой процедуры является создание процесса из модифицированного исполняемого файла, а установленные механизмы безопасности остаются в полном неведении.

Вредоносный код Process Doppelganging никогда не сохраняется на диске (безфайловая атака), а значит он остается невидимым для большинства антивирусов.

Атака оказалась успешной в системах, защищенных продуктами Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda. Даже специализированные инструменты, такие как Volatility, не смогли обнаружить угрозу.

Атака Process Doppelganging позволяет обходить антивирусы

В своих тестах исследователи использовали Process Doppelganging для запуска утилиты Mimikatz, предназначенной для извлечения учетных данных.

Исследователи отмечают, что основная цель данной техники - позволить вредоносной программе выполнить произвольный код (включая известный вредоносный код) в контексте доверенного процесса на целевой машине:

Атака очень напоминает Process Hollowing, но делает то же самое без использования подозрительных процессов и действий с памятью. Для этого используются NTFS транзакции. Надежный файл переписывается в контексте транзакции. Затем из измененного файла создается раздел и соответствующий процесс. Сканирование файла, который находится в транзакции невозможно, а при откате транзакции следы вредоносной активности не остаются в системе.

Для антивирусов вредоносный процесс выглядит легитимным и корректно размещается на диске, как и любой другой безопасный процесс. Несопоставленного кода, который обычно представляет интерес для продуктов безопасности, в данном случае не будет.

Организовать атаку Process Doppelganging технически будет очень сложно. Хакеры должны знать много недокументированной информации по созданию процессов. С другой стороны, исправить уязвимость патчем не получится, потому что эксплуатируются фундаментальные функции и основной механизм загрузки процессов в Windows.

За последний год было обнаружено несколько методов атаки, против которых антивирусы малоэффективны: Atom Bombing, GhostHook и PROPagate. Теперь Process Doppelganging присоединяется к данной группе.
Последний раз редактировалось DesignerMix 08 дек 2017, 00:49, всего редактировалось 1 раз.
Причина: Тема перенесена

Аватара пользователя

triod pentod
Интересующийся
Сообщения: 52
Зарегистрирован: 01 дек 2015, 04:09
Есть ответ: 1
Репутация: 10
Статус: Не в сети

Атака Process Doppelganging позволяет обходить антивирусы во всех версиях Windows

Сообщение triod pentod » 10 дек 2017, 02:51

лет 10 назад если не ошибаюсь про подобное писал Крис
см. тут:
все публикации Криса до того как ему прибыть в Рестон по визе O1:
https://www.evilfingers.com/publication ... rch_RU.php

Ответить

Вернуться в «Информационная безопасность»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость