Під час виступу на конференції Black Hat Europe 2017 фахівці з безпеки з компанії enSilo розповіли про новий тип атак на персональні комп’ютери, що отримав назву Process Doppelg?nging. За допомогою вищезгаданого методу зловмисники можуть обійти практично всі популярні антивіруси та отримати дані користувачів всіх версій операційної системи Windows.
За допомогою Process Doppelg?nging співробітникам enSilo вдалося обійти захист антивірусів «Лабораторії Каперського», Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360, Panda і Volatility (використовується кіберкріміналістамі) на комп’ютерах з Windows 10, 8.1 і 7 SP1.
Windows
Process Doppelg?nging нагадує відому атаку Process Hollowing. В її основі лежить створення нового легітимного процесу і подальша підміна безпечного коду шкідливим. Але метод Process Hollowing вже давно вивчений, тому більшість антивірусів здатні його виявити. У enSilo модифікували атаку, щоб її було складніше виявити. Process Doppelg?nging використовує транзакції NTFS для зміни легітимних файлів і виконання шкідливого коду. Останній навіть не потрапляє на накопичувач комп’ютера, а значить і виявити його вкрай складно.
В ході експерименту за допомогою Process Doppelg?nging фахівці enSilo запустили популярну утиліту для відновлення і крадіжки паролів Mimikatz. Правда, для атаки зловмисникам необхідно знати чимало подробиць про роботу та створення процесів. Тому про масові проблеми поки мова не йде. Погана новина полягає в тому, що патчами захистити систему від цієї уразливості неможливо, тому, що вона використовує фундаментальні механізми та функції роботи Windows.
Правила коментування
Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.
- Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
- На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
- Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
- Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
- Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
- Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
- Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.
Схожі новини
У Windows 11 зʼявився VPN-індикатор
Windows 11 вже має вбудовану інформаційну панель конфіденційності, яка дозволяє бачити, яке обладнання має доступ до камери, мікрофона тощо. Ви можете перейти в «Налаштування» => «Конфіденційність і безпека» і дізнатися, які програми отримували доступ до вашого місцезнаходження тощо. У той же час панель завдань у Windows 11 може показати Вам, які програми активно використовуються компʼютером. Наприклад, […]
Microsoft тестує нову функцію під назвою Drop
Ви вже можете використовувати програму Microsoft Phone Link (Звʼязок зі смартфоном або Your Phone) для передачі файлів між Windows-компʼютером і Android-смартфоном. Проте, Microsoft зараз працює над тим, щоб обмінюватися файлами між широким набором пристроїв під керуванням Windows, Android і навіть macOS. Ця функція називається Drop і зараз тестується в збірці Canary браузера Edge. Функція доступна […]