На лондонской конференции Black Hat Europe 2017 представлена новая методика инъекции кода Process Doppelgänging (создание двойников процессов). Методика позволяет обходить большую часть сегодняшних продуктов безопасности и работает на всех версиях Windows.
Транзакции NTFS
Эксперты компании enSilo продемонстрировали на Black Hat Europe 2017 новую методику инъекции кода, которая работает под всеми версиями Windows и позволяет обходить большую часть современных средств безопасности.
Методика работает, используя особенности механизма транзакций в фирменной файловой системе Windows NTFS.
«С помощью NTFS-транзакций мы вносим изменения в исполняемый файл, который, впрочем, не попадет на диск. Затем мы используем недокументированные аспекты механизма загрузки процессов для загрузки модифицированного исполняемого файла, но не раньше, чем откатим внесенные нами изменения. В результате этой процедуры запускается процесс именно из измененного исполняемого файла, который при этом не перехватывают защитные средства», – говорится в описании методики.
Антивирусы не видят
Речь идет о бесфайловой атаке: вредоносный код не записывается на диск и потому для большинства антивирусов не виден. К этому большинству относятся разработки всех крупнейших и известнейших мировых разработчиков: ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast, Panda и «Лаборатории Касперского».
Атаку не могут обнаружить даже такие продвинутые средства ретроспективного анализа как Volatility. Цель атаки – позволить вредоносному ПО запускать произвольный (опять же, вредоносный) код на машине жертвы в контексте легитимного процесса.
Атака очень похожа на методику Process Hollowing, однако, как пояснили исследователи, ключевой задачей для них было не использовать никаких «подозрительных» процессов или операций с памятью типа SuspendProcess или NtUnmapViewOfSection.
«Чтобы достичь этой цели мы используем транзакции NTFS. Мы перезаписываем легитимный файл в контексте транзакции. Затем мы создаем секцию из модифицированного файла (в контексте транзакции) и создаем из нее процесс. Как выясняется, сканирование процесса в процессе транзакции проверенными нами антивирусами невозможно (некоторые даже подвисают), а поскольку мы откатываем в итоге транзакцию, наши действия не оставляют никаких следов», – пишут эксперты enSilo.
То есть, с точки зрения антивирусов, вредоносный процесс легитимен и безопасен, в то время как запустившие его злоумышленники могут совершать уже любые действия на атакованной машине.
Атака не для всех
Единственное, что более-менее обнадеживает, это что методика Process Doppelgänging довольно сложна в исполнении. Потенциальным злоумышленникам придется знать множество «незадокументированных аспектов», связанных с созданием процесса, указывают исследователи.
С другой стороны, выпуск патча против этой проблемы невозможен, поскольку методика эксплуатирует не уязвимости, а фундаментальные функции и механизмы запуска любых процессов в Windows.
«По-видимому, эта методика будет использоваться только наиболее продвинутыми специалистами, деятельность которых оплачивают крупные коммерческие структуры и государства, – считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. – Маловероятно, чтобы среднестатистический хакер будет обладать необходимыми знаниями. А вот для высокопрофессиональных кибершпионов данная методика выглядит весьма многообещающе».
Источник: cnews.ru
Компанія Google запровадила нові обмеження для контенту, що публікується на YouTube. Відтепер блокуватимуть ролики, в…
Apple планує випустити нове покоління гарнітур Vision вже в 2026 році, і, за даними TrendForce,…
Євросоюз уже змусив Apple дозволити на iPhone сторонні магазини додатків, доступ до NFC для платіжних…
В останні тижні інженери Apple зосередилися на створенні нових операційних систем, які, ймовірно, будуть представлені…
У соціальних мережах і на офіційному форумі Samsung з'явилося багато скарг на роботу смартфонів лінійки…
До нового Pixel 9a ще півроку, але в мережі вже просто шалений ажіотаж. Постійно з'являються…