Process Doppelgäking,新的恶意软件规避技术适用于所有Windows版本
相关标签: # 恶意软件# 技术# 攻击# 工具# 补丁
加工双齿轮,新的无文件代码注入技术利用了内置的Windows函数和Windows process loader的未记录实现。
Ensilo安全研究人员塔尔·利伯曼(Tal Liberman)和尤金·科根(Eugene Kogan)发现了Doppelgäking攻击过程,他们今天在伦敦举行的2017年黑帽安全会议上介绍了他们的发现。
Process Doppelgäking适用于所有Windows版本
显然,进程复制攻击适用于所有现代版本的Microsoft Windows操作系统,从Windows Vista到最新版本的Windows 10。enSilo研究团队负责人塔尔·利伯曼(Tal Liberman)告诉《黑客新闻》(the Hacker New),这种恶意软件规避技术类似于进程空洞化看,攻击者多年前首次引入的一种方法,旨在挫败安全产品的缓解能力。
在进程空洞化攻击中,黑客用恶意代码替换合法进程的内存,从而使第二个代码代替原始代码运行,从而诱使进程监视工具和防病毒软件相信原始进程正在运行。
由于所有现代防病毒和安全产品都已升级以检测进程空洞化攻击,因此使用该技术不再是一个好主意。
另一方面,通过滥用Windows NTFS事务和Windows Process loader的过时实现,Process Doppelgäging是一种完全不同的实现方法。Windows Process loader最初是为Windows XP设计的,但在所有更新版本的Windows中都有使用。
以下是Doppelgäking攻击过程的工作原理:
在进一步了解这种新的代码注入攻击的工作原理之前,您需要了解什么是Windows NTFS事务,以及攻击者如何利用它来规避其恶意操作。
NTFS事务是Windows的一项功能,它将原子事务的概念引入NTFS文件系统,允许以原子方式创建、修改、重命名和删除文件和目录。
NTFS事务是一个独立的空间,它允许Windows应用程序开发人员编写文件输出例程,这些例程保证要么完全成功,要么完全失败。
据研究人员称,Process Doppelgäking是一种无文件攻击,分为以下四个主要步骤:
- 做交易,将合法的可执行文件处理到NTFS事务中,然后用恶意文件覆盖它。
- 负载,从修改过的(恶意的)文件创建内存段。
- 回降,回滚事务(故意使事务失败),从而以不存在的方式删除合法可执行文件中的所有更改。
- 使有生气,让这个多面手活过来。使用旧版本的Windows process loader实现创建一个具有先前创建的内存部分(在步骤2中)的进程,该内存部分实际上是恶意的,并且从未保存到磁盘,“使它对大多数录制工具(如现代EDR)不可见”
过程Doppelgäking逃避了大多数抗病毒药物的检测
为了证明这一点,研究人员使用了Mimikatz,这是一种攻击后工具,可以帮助从受影响的系统中提取凭据,并通过进程复制绕过防病毒检测。
当研究人员在Windows操作系统上运行Mimikatz时,Symantec防病毒解决方案立即捕获了该工具,如下所示:
Liberman还告诉我们,Process Doppelgäking甚至可以在最新版本的Windows 10上运行,除了今年早些时候发布的Windows 10 Redstone和Fall Creators Update。
但由于Windows 10中的另一个错误,Redstone和Fall Creators更新了,使用进程复制会导致BSOD(死亡蓝屏),从而导致用户计算机崩溃。
具有讽刺意味的是,微软在后来的更新中修补了崩溃漏洞,允许进程Doppelgänging在最新版本的Windows 10上运行。
我不认为微软会急于寻找一个紧急补丁,这可能会使一些依赖旧版本实现的软件变得不稳定,但反病毒公司可以升级其产品,使用进程复制或类似攻击来检测恶意程序。
这不是enSilo研究人员第一次发现恶意软件规避技术。此前,他们发现并演示了AtomBombing技术,该技术也滥用了Windows操作系统的一个设计弱点。
9月,enSilo的研究人员还披露了微软Windows内核中一个17年前的编程错误,该错误阻止了安全软件在加载到系统内存时在运行时检测恶意软件。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
