Під час виступу на конференції Black Hat Europe 2017 фахівці з безпеки з компанії enSilo розповіли про новий тип атак на персональні комп’ютери, що отримав назву Process Doppelg?nging. За допомогою вищезгаданого методу зловмисники можуть обійти практично всі популярні антивіруси та отримати дані користувачів всіх версій операційної системи Windows.
За допомогою Process Doppelg?nging співробітникам enSilo вдалося обійти захист антивірусів «Лабораторії Каперського», Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360, Panda і Volatility (використовується кіберкріміналістамі) на комп’ютерах з Windows 10, 8.1 і 7 SP1.
Windows
Process Doppelg?nging нагадує відому атаку Process Hollowing. В її основі лежить створення нового легітимного процесу і подальша підміна безпечного коду шкідливим. Але метод Process Hollowing вже давно вивчений, тому більшість антивірусів здатні його виявити. У enSilo модифікували атаку, щоб її було складніше виявити. Process Doppelg?nging використовує транзакції NTFS для зміни легітимних файлів і виконання шкідливого коду. Останній навіть не потрапляє на накопичувач комп’ютера, а значить і виявити його вкрай складно.
В ході експерименту за допомогою Process Doppelg?nging фахівці enSilo запустили популярну утиліту для відновлення і крадіжки паролів Mimikatz. Правда, для атаки зловмисникам необхідно знати чимало подробиць про роботу та створення процесів. Тому про масові проблеми поки мова не йде. Погана новина полягає в тому, що патчами захистити систему від цієї уразливості неможливо, тому, що вона використовує фундаментальні механізми та функції роботи Windows.
Правила коментування
Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.
- Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
- На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
- Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
- Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
- Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
- Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
- Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.
Схожі новини
Meta представила новий застосунок WhatsApp для Mac
В березні цього року компанія Meta представила новий застосунок WhatsApp для Windows. Тепер, від учора, нова програма WhatsApp зʼявляється і для користувачів Mac. Додаток було перероблено настільки, щоб він виглядав у стилі операційної системи macOS. Підписуйтесь на наш Telegram-канал Facebook Messenger отримує наскрізне шифрування Meta погрожує заблокувати Instagram та Facebook, або як шахраї розводять українців […]
Як прибрати жовтий трикутник на диску C/D у Windows 10/11
Якщо ви стикнулися з проблемою, коли на вашому компʼютері з операційною системою Windows 10 чи Windows 11 побачили жовтий трикутник на диску C, D або іншому, то не лякайтеся, ви не одні такі. Це типова проблема, яка зазвичай зʼявляється після перевстановлення операційної системи від Microsoft. Що ж, розберімося, що означає цей жовтий попереджувальний знак на […]