В рамках конференции Black Hat Europe 2017 специалисты компании enSilo рассказали о новой технике внедрения кода Process Doppelgänging, которая работает на всех версиях Windows и позволяет обойти большинство современных антивирусов.
Process Doppelgänging схожа с техникой Process Hollowing (с ее помощью атакующие создают процессы в состоянии ожидания и заменяют образ процесса образом, который хотят скрыть), но имеет ряд нюансов, в частности, она основана на использовании транзакций (операций) NTFS.
Техника работает путем использования двух ключевых функций для маскировки загрузки модифицированного исполняемого файла. По словам исследователей, вредоносный код, используемый в атаке, никогда не сохраняется на диск, благодаря чему его не замечает большинство популярных решений безопасности.
Эксперты успешно протестировали технику на антивирусах «Лаборатории Касперского», ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda. Отмечается, что даже более совершенные инструменты, такие как Volatility, не выявят атаку. В рамках исследования специалисты использовали технику для запуска утилиты Mimikatz, применяющейся для хищения паролей.
«Цель техники состоит в том, чтобы позволить вредоносному ПО выполнить произвольный код (в том числе код, который известен как вредоносный) в контексте легитимного процесса на целевом компьютере. [Атака] очень похожа на Process Hollowing, но с некоторыми нюансами. Задача заключается в том, чтобы сделать это без использования подозрительных процессов и операций памяти, таких как SuspendProcess, NtUnmapViewOfSection. Для того чтобы достичь этой цели, мы используем NTFS транзакции. Мы перезаписываем легитимный файл в контексте операции, а затем создаем раздел из модифицированного файла (в контексте транзакции) и создаем процесс. Как оказалось, проверенные нами антивирусы не могут сканировать файл в процессе операции (некоторые даже зависали) и так как мы выполняем откат, наша деятельность не оставляет следов», - пояснили исследователи.
По их словам, атака довольно сложна в проведении, так как требует знания «незадокументированных подробностей о создании процессов». Плохая новость заключается в том, что для Process Doppelgänging невозможно выпустить патч, поскольку техника эксплуатирует фундаментальные функции и дизайн механизма загрузки в Windows. Более подробную информацию об атаке эксперты пообещали опубликовать чуть позже.
Process Doppelgänging схожа с техникой Process Hollowing (с ее помощью атакующие создают процессы в состоянии ожидания и заменяют образ процесса образом, который хотят скрыть), но имеет ряд нюансов, в частности, она основана на использовании транзакций (операций) NTFS.
Техника работает путем использования двух ключевых функций для маскировки загрузки модифицированного исполняемого файла. По словам исследователей, вредоносный код, используемый в атаке, никогда не сохраняется на диск, благодаря чему его не замечает большинство популярных решений безопасности.
Эксперты успешно протестировали технику на антивирусах «Лаборатории Касперского», ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda. Отмечается, что даже более совершенные инструменты, такие как Volatility, не выявят атаку. В рамках исследования специалисты использовали технику для запуска утилиты Mimikatz, применяющейся для хищения паролей.
«Цель техники состоит в том, чтобы позволить вредоносному ПО выполнить произвольный код (в том числе код, который известен как вредоносный) в контексте легитимного процесса на целевом компьютере. [Атака] очень похожа на Process Hollowing, но с некоторыми нюансами. Задача заключается в том, чтобы сделать это без использования подозрительных процессов и операций памяти, таких как SuspendProcess, NtUnmapViewOfSection. Для того чтобы достичь этой цели, мы используем NTFS транзакции. Мы перезаписываем легитимный файл в контексте операции, а затем создаем раздел из модифицированного файла (в контексте транзакции) и создаем процесс. Как оказалось, проверенные нами антивирусы не могут сканировать файл в процессе операции (некоторые даже зависали) и так как мы выполняем откат, наша деятельность не оставляет следов», - пояснили исследователи.
По их словам, атака довольно сложна в проведении, так как требует знания «незадокументированных подробностей о создании процессов». Плохая новость заключается в том, что для Process Doppelgänging невозможно выпустить патч, поскольку техника эксплуатирует фундаментальные функции и дизайн механизма загрузки в Windows. Более подробную информацию об атаке эксперты пообещали опубликовать чуть позже.
