11.12.2017 07:26
Во время выступления на конференции Black Hat Europe 2017 специалисты по безопасности из компании enSilo рассказали о новом типе атак для персональных компьютеров, получившем название Process Doppelgänging.

С помощью вышеупомянутого метода злоумышленники могут обойти практически все популярные антивирусы и получить данные к пользователям всех версий операционной системы Windows.

С помощью Process Doppelgänging сотрудникам enSilo удалось обойти защиту антивирусов «Лаборатории Касперского», Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360, Panda и Volatility (используется киберкриминалистами) на компьютерах с Windows 10, 8.1 и 7 SP1.




Process Doppelgänging напоминает известную атаку Process Hollowing. В её основе лежит создание нового легитимного процесса и последующая подмена безопасного кода вредоносным. Но метод Process Hollowing уже давно изучен, поэтому большинство антивирусов способны его обнаружить. В enSilo модифицировали атаку, чтобы её было сложнее выявить. Process Doppelgänging использует транзакции NTFS для изменения легитимных файлов и выполнения вредоносного кода. Последний даже не попадает на накопитель компьютера, а значит и обнаружить его крайне сложно.




В ходе эксперимента с помощью Process Doppelgänging специалисты enSilo запустили популярную утилиту для восстановления и кражи паролей Mimikatz. Правда, для атаки злоумышленникам необходимо знать немало подробностей о работе и создании процессов, так что о массовой проблеме пока речь не идёт. Плохая новость заключается в том, что патчами защитить систему от этой уязвимости невозможно, так как она использует фундаментальные механизмы и функции работы Windows.
11.12.2017 07:57
Я даже в ВК эту новость выложил
Часовой пояс GMT +3, время: 11:19.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.