Специалисты показали новый метод взлома Windows

На конференции Black Hat Europe 2017 программисты из компании enSilo поведали о новейшей методике взлома Windows.

Этот вредный метод работает со всеми версиями Windows, однако остается невидимым для служб безопасности.

Профессионалы рассказали, что для использования Process Doppelganging атакующим нужно знать множество недокументированных деталей о работе и создании процессов, иными словами врядли преступникам удастся просто взять данную технику на вооружение.

«С помощью NTFS-транзакций мы вносим изменения в исполняемый файл, который, впрочем, не попадет на диск». В enSilo модифицировали атаку, чтобы ее было труднее выявить. Основные антивирусные программы не видят его. Тестирование показало, что она способна побороть защиту основных антивирусных средств. В ее основе лежит создание нового легитимного процесса и последующая подмена безопасного кода вредным. Он дает возможность заразить компьютер вирусом, не разрешая при всем этом найти себя антивирусными программам.

В собственных экспериментах ученые использовали Process Doppelgänging для запуска Mimikatz, популярной утилиты, используемой для кражи паролей. Перезапись «хорошего» файла происходит незаметно для большинства блокировщиков. «Для антивирусных продуктов все выглядит вполне качественно, так как вредный процесс будет выглядеть в точности как легитимный», — констатируют эксперты enSilo Тал Либерман (Tal Liberman) и Юджин Коган (Eugene Kogan).

Хорошей новостью является тот факт, что реализация Process Doppelganging имеет внушительное количество технических трудностей, поэтому ее смогут выполнить только подкованные злоумышленники. Плохая же новость в том, что cейчас эту брешь нельзя исправить.