Process Doppelgänging или Невидимая атака
8 декабря 2017 года
В ходе конференции Black Hat Europe-2017 обсуждался новый способ вредоносного «нападения» «Process Doppelgänging», который был освещен специалистами в области кибербезопасности компании enSilo.
В ходе конференции Black Hat Europe-2017 обсуждался новый способ вредоносного «нападения» «Process Doppelgänging», который был освещен специалистами в области кибербезопасности компании enSilo. К этому вредоносному сценарию восприимчивы все версии системы Windows, и подавляющее большинство актуальных на данный момент продуктов безопасности не способны его идентифицировать.
Как показали изыскания специалистов, посредством транзакция NTFS изменяется используемый файл. После чего «Process Doppelgänging» скрывает от пользователя загрузку этого видоизмененного файла. Антивирусы продолжают соблюдать спокойствие. Они не регистрируют на свершившуюся атаку, так как применяемый «Process Doppelgänging» вредоносный код не оставляет следа на диске.
Эксперимент проводился на продуктах компаний-лидеров, а именно: Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda. Специалисты запускали программу для кражи паролей Mimikatz посредством «Process Doppelgänging». Суть проблемы сводится к тому, что с помощью данного способа атаки можно безболезненно запустить любой вредоносный код в любой операционной системе Windows, и это действие воспримется антивирусными системами как штатная ситуация. И любой «надежный» файл может быть переписан посредством Process Doppelgänging» за счет интеграции в него вредоносного кода и полностью реабилитирован «в глазах» установленной антивирусной утилиты.
К великому сожалению, эксперты отмечают, что пока обезопасить Windows не представляется возможным. Однако подчеркивают, что только очень продвинутые специалисты смогут злоумышлять посредством данной технологии. Поскольку она весьма и весьма сложна в плане реализации.