RSS канал
Для заражения компьютера вирусной программой он использует механизмы файловой системы NTFS, пишет издание. Потом мы используем недокументированные нюансы механизма загрузки процессов для загрузки модифицированного исполняемого файла, однако не раньше, чем откатим внесенные нами изменения.
В собственных экспериментах ученые использовали Process Doppelgänging для запуска Mimikatz, популярной утилиты, используемой для кражи паролей. После этого мы создаем секцию из модифицированного файла (в контексте транзакции) и создаем из нее процесс. С его помощью можно заразить компьютер вирусом, оставаясь при всем этом невидимым для антивирусных программ. К этому большинству относятся разработки всех крупнейших и известнейших мировых разработчиков: ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast, Panda и «Лаборатории Касперского». Даже специализированные инструменты, такие как Volatility, не смогли найти угрозу.
Единственное, что более-менее обнадеживает, это что методика Process Doppelgänging довольно трудна в исполнении.
Атака очень напоминает Process Hollowing, однако делает то же самое без использования подозрительных процессов и действий с памятью. Технология дает возможность перезаписать любой «хороший» файл, внедрив в него вредный код.
По их словам, атака довольно трудна в проведении, так как требует знания «незадокументированных подробностей о создании процессов».
«Для антивирусных продуктов все выглядит вполне качественно, так как вредный процесс будет выглядеть в точности как легитимный», — отмечают эксперты enSilo Тал Либерман (Tal Liberman) и Юджин Коган (Eugene Kogan).Несопоставленного кода, который обычно представляет интерес для продуктов безопасности, в этом случае не будет.
Process Doppelgänging работает на всех версиях Windows, начиная с Vista. Хакеры должны знать большое количество недокументированной информации по созданию процессов.
Ни один из антивирусов не среагировал на атаку. Сейчас Process Doppelganging присоединяется к данной группе.