Атака работает на всех версиях Windows и дает возможность обойти большинство актуальных на сегодняшний день антивирусов. Потом мы используем недокументированные нюансы механизма загрузки процессов для загрузки модифицированного исполняемого файла, однако не раньше, чем откатим внесенные нами изменения.
Работа замаскированной Process Doppelgänging банковской утилиты.
Ученые благополучно протестировали свою атаку на продуктах следующих вендоров: Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda.
Хакер запускает NTFS Trasnsaction в отношении какого-нибудь доверенного исполняемого файла. Отмечается, что даже не менее совершенные инструменты, такие как Volatility, не выявят атаку. Результатом данной процедуры является создание процесса из модифицированного исполняемого файла, а установленные механизмы безопасности остаются в полном неведении.
В собственных тестах ученые использовали Process Doppelganging для запуска утилиты Mimikatz, предназначенной для извлечения учетных данных. Задача состоит в том, чтобы сделать это без использования подозрительных процессов и операций памяти, таковых как SuspendProcess, NtUnmapViewOfSection.
Схема работы Process Doppelgänging схожа на иную, давно известную технику атак, которая называется Process Hollowing. Для этого используются NTFS транзакции. Технология дает возможность перезаписать любой «хороший» файл, внедрив в него вредный код. Возможным злоумышленникам придется знать большое количество «незадокументированных аспектов», связанных с созданием процесса, указывают ученые. «Как выясняется, сканирование процесса в процессе транзакции проверенными нами антивирусами нереально (некоторые даже подвисают), а так как мы откатываем в результате транзакцию, наши действия не оставляют никаких следов», — пишут специалисты enSilo. Сейчас Process Doppelganging присоединяется к данной группе.
Комментировать