Технические специалисты компании enSilo довели до сведения участников конференции Black Hat Europe 2017 о появлении нового метода атак на персональные компьютеры. Новый способ, получивший название Process Doppelgänging, позволяет хакерам обходить все имеющиеся антивирусные программы и извлекать конфиденциальные данные пользователей всех версий ОС Windows.
Специалисты по безопасности компании enSilo преодолели практически все антивирусные программы: «Лаборатории Касперского», ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Bitdefender, Qihoo 360, Panda и Volatility (специальный антивирус для киберкриминалистов). Компьютеры работали под управлением ОС Windows 10, 8.1 и 7 SP1.
По способу проникновения и похищения данных Process Doppelgänging аналогичен Process Hollowing. Суть метода проникновения заключается в создании легитимного процесса и дальнейшей замене безопасного кода – кодом для взлома персональных данных. Основные антивирусные программы уже адаптировались к Process Hollowing и научились эффективно его блокировать.
Специалисты enSilo усовершенствовали методику атаки для усложнения её выявления. Process Doppelgänging основана на использовании NTFS для изменения легитимных файлов и выполнения вредоносного кода, который не попадает на компьютер пользователя, что усложняет его обнаружение.
В качестве демонстрации методики Process Doppelgänging была запущена программа Mimikatz, предназначенная для похищения и восстановления паролей. Злоумышленники должны обладать знаниями о работе и создании процессов, что пока делает атаки с использованием данного метода единичным явлением. Однако защиту от Process Doppelgänging нельзя установить путём выпуска очередного патча – злоумышленники работают с фундаментальными механизмами функционирования Windows.
-
-