Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Новая техника внедрения кода позволяет обойти большинство антивирусов

Новая техника внедрения кода позволяет обойти большинство антивирусов


07.12.2017

Новая техника внедрения кода позволяет обойти большинство антивирусов

В рамках конференции Black Hat Europe 2017, проходящей в Лондоне, специалисты компании enSilo рассказали о новой технике внедрения кода, получившей название Process Doppelganging. Атака работает на всех версиях Windows и позволяет обойти большинство современных антивирусов.

 Process Doppelganging схожа с техникой Process Hollowing (с ее помощью атакующие создают процессы в состоянии ожидания и заменяют образ процесса образом, который хотят скрыть), но имеет ряд нюансов, в частности, она основана на использовании транзакций (операций) NTFS.

 Process Doppelganging работает путем использования двух ключевых функций для маскировки загрузки модифицированного исполняемого файла. По словам исследователей, вредоносный код, используемый в атаке, никогда не сохраняется на диск, благодаря чему его не замечает большинство популярных решений безопасности.

 Эксперты успешно протестировали технику на антивирусах "Лаборатории Касперского", ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda. Отмечается, что даже более совершенные инструменты, такие как Volatility, не выявят атаку. В рамках исследования специалисты использовали технику для запуска утилиты Mimikatz, применяющейся для хищения паролей.

 "Цель техники состоит в том, чтобы позволить вредоносному ПО выполнить произвольный код (в том числе код, который известен как вредоносный) в контексте легитимного процесса на целевом компьютере. [Атака] очень похожа на Process Hollowing, но с некоторыми нюансами. Задача заключается в том, чтобы сделать это без использования подозрительных процессов и операций памяти, таких как SuspendProcess, NtUnmapViewOfSection. Для того чтобы достичь этой цели, мы используем NTFS транзакции. Мы перезаписываем легитимный файл в контексте операции, а затем создаем раздел из модифицированного файла (в контексте транзакции) и создаем процесс. Как оказалось, проверенные нами антивирусы не могут сканировать файл в процессе операции (некоторые даже зависали) и так как мы выполняем откат, наша деятельность не оставляет следов", - пояснили исследователи.

 По их словам, атака довольно сложна в проведении, так как требует знания "незадокументированных подробностей о создании процессов". Плохая новость заключается в том, что для Process Doppelganging невозможно выпустить патч, поскольку техника эксплуатирует фундаментальные функции и дизайн механизма загрузки в Windows. Более подробную информацию об атаке эксперты пообещали опубликовать чуть позже.

 NTFS ( New Technology File System, "файловая система новой технологии") — стандартная файловая система, предназначенная для семейства ОС Microsoft Windows NT. NTFS пришла на смену файловой систем FAT, использовавшейся ранее в Microsoft Windows и MS-DOS. NTFS поддерживает систему метаданных, а также применяет для хранения информации о файлах специализированные структуры данных, позволяющие улучшить производительность, надежность, эффективность использования дискового пространства.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.