Новую вирусную атаку не видит ни один антивирус

ГлавнаяТехнологии Нина Суруханова

Сегодня на конференции по компьютерной безопасности Black Hat Europe 2017, которая проходит в столице Англии, два ученых из компании enSilo описали новейшую технику внедрения кода, получившую название «Process Doppelganging». Атака работает на всех версиях Windows и дает возможность обойти большинство актуальных на сегодняшний день антивирусов.

Process Doppelgänging напоминает иную технологию, получившую имя Process Hollowing, однако с отличительным фактом применения механизма Windows NTFS Transactions. Дальше Process Doppelgänging способна маскировать загрузку данного модифицированного файла.

«С помощью NTFS-транзакций мы вносим изменения в исполняемый файл, который, впрочем, не попадет на диск».

Потом недокументированные детали реализации механизма загрузки процесса используются для загрузки модифицированного исполняемого файла.

Специалисты протестировали эту атаку на Windows 7 SP1, Windows 8.1 и Windows 10 с антивирусными продуктами Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda.

Отмечается, что даже не менее совершенные инструменты, такие как Volatility, не выявят атаку. В рамках исследования профессионалы использовали технику для запуска утилиты Mimikatz, применяющейся для хищения паролей.

Задача состоит в том, чтобы сделать это без использования подозрительных процессов и операций памяти, таковых как SuspendProcess, NtUnmapViewOfSection.

Для этого используются NTFS транзакции. Перезаписывается законный файл в контексте транзакции. Возможным злоумышленникам придется знать большое количество «незадокументированных аспектов», связанных с созданием процесса, указывают ученые.

Сканирование файла, который находится в транзакции нереально, а при откате транзакции следы вредной активности не остаются в системе.

«Как выясняется, сканирование процесса в процессе транзакции проверенными нами антивирусами нереально (некоторые даже подвисают), а так как мы откатываем в следствии транзакцию, наши действия не оставляют никаких следов», — пишут специалисты enSilo.

Единственное, что более-менее обнадеживает, — это что методика Process Doppelgänging довольно трудна в исполнении, Так как требует знания «незадокументированных подробностей о создании процессов».

С другой стороны, исправить уязвимость патчем не получится, так как используются фундаментальные функции и основной механизм загрузки процессов в Windows. Маловероятно, чтобы среднестатистический хакер будет владеть необходимыми познаниями.

Однако профессионалы enSilo решили развить эту идею дальше, и создали атаку, которая дает возможность не менее продуктивно утаивать малварь от антивирусов в контексте легитимных процессов. Сейчас Process Doppelganging присоединяется к данной группе.

«По-видимому, данная методика будет использоваться только более продвинутыми специалистами, деятельность которых оплачивают большие коммерческие структуры и государства, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — А вот для высокопрофессиональных кибершпионов эта методика выглядит очень многообещающе».