Создана новая техника внедрения кода, способная обойти большинство современных антивирусов

На прошедшей конференции Black Hat Europe 2017 специалисты компании enSilo представили новую технику внедрения кода, получившую название Process Doppelgänging. Этот вид атаки неуловим для большей части современных антивирусных программ и представляет опасность для всех версий операционной системы Windows.

Что ты такое?

Process Doppelgänging во многом похожа на технику Process Hollowing. Она так же создает копию ожидающего легитимного процесса с последующей подменой оригинала на «зараженный». Главное отличие новой разработки — это работа через транзакции NTFS, позволяющая избежать использования подозрительных процессов в памяти. Запущенный подобным образом код способен ловко обойти защитные механизмы стандартных алгоритмов поиска вируса.

Новая техника была успешно протестирована на самых популярных антивирусах — ни одному из них не удалось выявить атаку.

Однако, по словам исследователей, пока что рано бить тревогу. Для использования этого инструмента хакерам необходимо разбираться в «недокументированных деталях о создании процессов». К тому же компания enSilo уже разработала алгоритмы обнаружения Process Doppelgänging. Правда, выпуск патчей для новой техники — задача неосуществимая, так как атака работает с фундаментальными функциями Windows.

Информация о деталях реализации Process Doppelgänging доступна в официальной презентации.