Сегодня на конференции по компьютерной безопасности Black Hat Europe 2017, которая проходит в Лондоне, два исследователи из компании enSilo описали новую технику внедрения кода, получившую название “Process Doppelganging”.
Новая атака работает на всех версиях Windows и, по мнению экспертов, способна обходить защиту большинства современных антивирусов.
Process Doppelganging напоминает еще одну технику Process Hollowing, но в отличие от нее эксплуатирует механизм NTFS транзакций Windows.
Doppelganging использует два ключевых отдельных элемента вместе, чтобы замаскировать загрузку модифицированного исполняемого файла. С помощью NTFS транзакций можно вносить изменения в исполняемый файл, которые никогда не будут привязаны к диску. Затем недокументированные детали реализации механизма загрузки процесса используются для загрузки модифицированного исполняемого файла. Это делается перед откатом изменений, внесенных в исполняемый файл. Результатом этой процедуры является создание процесса из модифицированного исполняемого файла, а установленные механизмы безопасности остаются в полном неведении.
Вредоносный код Process Doppelganging никогда не сохраняется на диске (безфайловая атака), а значит он остается невидимым для большинства антивирусов.
Атака оказалась успешной в системах, защищенных продуктами Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda. Даже специализированные инструменты, такие как Volatility, не смогли обнаружить угрозу.
В своих тестах исследователи использовали Process Doppelganging для запуска утилиты Mimikatz, предназначенной для извлечения учетных данных.
Исследователи отмечают, что основная цель данной техники - позволить вредоносной программе выполнить произвольный код (включая известный вредоносный код) в контексте доверенного процесса на целевой машине:
Атака очень напоминает Process Hollowing, но делает то же самое без использования подозрительных процессов и действий с памятью. Для этого используются NTFS транзакции. Надежный файл переписывается в контексте транзакции. Затем из измененного файла создается раздел и соответствующий процесс. Сканирование файла, который находится в транзакции невозможно, а при откате транзакции следы вредоносной активности не остаются в системе.
Для антивирусов вредоносный процесс выглядит легитимным и корректно размещается на диске, как и любой другой безопасный процесс. Несопоставленного кода, который обычно представляет интерес для продуктов безопасности, в данном случае не будет.
Организовать атаку Process Doppelganging технически будет очень сложно. Хакеры должны знать много недокументированной информации по созданию процессов. С другой стороны, исправить уязвимость патчем не получится, потому что эксплуатируются фундаментальные функции и основной механизм загрузки процессов в Windows.
За последний год было обнаружено несколько методов атаки, против которых антивирусы малоэффективны: Atom Bombing, GhostHook и PROPagate. Теперь Process Doppelganging присоединяется к данной группе.
Угрозы безопасности
• Уязвимости Apple «AirBorne» могут привести к удаленному взлому iPhone, iPad и Mac через AirPlay без участия пользователя
• Cloudflare отражает рекордное число DDoS-атак в 2025 году
• Уязвимость в Linux-интерфейсе io_uring позволяет скрытым руткитам обходить защиту
• Французские власти снова пытаются получить доступ к сообщениям в Telegram
• Опасный вирус SuperCard X ворует данные карт через NFC на Android, обходя защиту антивирусов
• Расширения Chrome с 6 миллионами установок содержат скрытый код отслеживания