Новая техника внедрения кода позволяет обойти большинство антивирусов

image

Теги: Process Doppelgänging, внедрение кода, Windows

Атака Process Doppelgänging работает на всех версиях Windows.

В рамках конференции Black Hat Europe 2017, проходящей в Лондоне, специалисты компании enSilo рассказали о новой технике внедрения кода, получившей название Process Doppelgänging. Атака работает на всех версиях Windows и позволяет обойти большинство современных антивирусов.

Process Doppelgänging схожа с техникой Process Hollowing (с ее помощью атакующие создают процессы в состоянии ожидания и заменяют образ процесса образом, который хотят скрыть), но имеет ряд нюансов, в частности, она основана на использовании транзакций (операций) NTFS.

Process Doppelgänging работает путем использования двух ключевых функций для маскировки загрузки модифицированного исполняемого файла. По словам исследователей, вредоносный код, используемый в атаке, никогда не сохраняется на диск, благодаря чему его не замечает большинство популярных решений безопасности.

Эксперты успешно протестировали технику на антивирусах «Лаборатории Касперского», ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda. Отмечается, что даже более совершенные инструменты, такие как Volatility, не выявят атаку. В рамках исследования специалисты использовали технику для запуска утилиты Mimikatz, применяющейся для хищения паролей.

«Цель техники состоит в том, чтобы позволить вредоносному ПО выполнить произвольный код (в том числе код, который известен как вредоносный) в контексте легитимного процесса на целевом компьютере. [Атака] очень похожа на Process Hollowing, но с некоторыми нюансами. Задача заключается в том, чтобы сделать это без использования подозрительных процессов и операций памяти, таких как SuspendProcess, NtUnmapViewOfSection. Для того чтобы достичь этой цели, мы используем NTFS транзакции. Мы перезаписываем легитимный файл в контексте операции, а затем создаем раздел из модифицированного файла (в контексте транзакции) и создаем процесс. Как оказалось, проверенные нами антивирусы не могут сканировать файл в процессе операции (некоторые даже зависали) и так как мы выполняем откат, наша деятельность не оставляет следов», - пояснили исследователи.

По их словам, атака довольно сложна в проведении, так как требует знания «незадокументированных подробностей о создании процессов». Плохая новость заключается в том, что для Process Doppelgänging невозможно выпустить патч, поскольку техника эксплуатирует фундаментальные функции и дизайн механизма загрузки в Windows. Более подробную информацию об атаке эксперты пообещали опубликовать чуть позже.

NTFS ( New Technology File System, «файловая система новой технологии») — стандартная файловая система, предназначенная для семейства ОС Microsoft Windows NT. NTFS пришла на смену файловой систем FAT, использовавшейся ранее в Microsoft Windows и MS-DOS. NTFS поддерживает систему метаданных, а также применяет для хранения информации о файлах специализированные структуры данных, позволяющие улучшить производительность, надежность, эффективность использования дискового пространства.

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus