Во время выступления на конференции Black Hat Europe 2017 специалисты по безопасности из компании enSilo рассказали о новом типе атак для персональных компьютеров, получившем название Process Doppelgänging.
С помощью вышеупомянутого метода злоумышленники могут обойти практически все популярные антивирусы и получить данные к пользователям всех версий операционной системы Windows.
С помощью Process Doppelgänging сотрудникам enSilo удалось обойти защиту антивирусов «Лаборатории Касперского», Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360, Panda и Volatility (используется киберкриминалистами) на компьютерах с Windows 10, 8.1 и 7 SP1.
Process Doppelgänging напоминает известную атаку Process Hollowing. В её основе лежит создание нового легитимного процесса и последующая подмена безопасного кода вредоносным. Но метод Process Hollowing уже давно изучен, поэтому большинство антивирусов способны его обнаружить. В enSilo модифицировали атаку, чтобы её было сложнее выявить. Process Doppelgänging использует транзакции NTFS для изменения легитимных файлов и выполнения вредоносного кода. Последний даже не попадает на накопитель компьютера, а значит и обнаружить его крайне сложно.
В ходе эксперимента с помощью Process Doppelgänging специалисты enSilo запустили популярную утилиту для восстановления и кражи паролей Mimikatz. Правда, для атаки злоумышленникам необходимо знать немало подробностей о работе и создании процессов, так что о массовой проблеме пока речь не идёт. Плохая новость заключается в том, что патчами защитить систему от этой уязвимости невозможно, так как она использует фундаментальные механизмы и функции работы Windows.