На прошедшей конференции Black Hat Europe 2017 специалисты компании enSilo представили новую технику внедрения кода, получившую название Process Doppelgänging. Этот вид атаки неуловим для большей части современных антивирусных программ и представляет опасность для всех версий операционной системы Windows.
Что ты такое?
Process Doppelgänging во многом похожа на технику Process Hollowing. Она так же создает копию ожидающего легитимного процесса с последующей подменой оригинала на «зараженный». Главное отличие новой разработки — это работа через транзакции NTFS, позволяющая избежать использования подозрительных процессов в памяти. Запущенный подобным образом код способен ловко обойти защитные механизмы стандартных алгоритмов поиска вируса.
Новая техника была успешно протестирована на самых популярных антивирусах — ни одному из них не удалось выявить атаку.
Однако, по словам исследователей, пока что рано бить тревогу. Для использования этого инструмента хакерам необходимо разбираться в «недокументированных деталях о создании процессов». К тому же компания enSilo уже разработала алгоритмы обнаружения Process Doppelgänging. Правда, выпуск патчей для новой техники — задача неосуществимая, так как атака работает с фундаментальными функциями Windows.
Информация о деталях реализации Process Doppelgänging доступна в официальной презентации.
Источник: Black Hat Europe
