Am Donnerstag, bei der BlackHat Europa 2017 Sicherheitskonferenz in London haben zwei Sicherheitsforscher der Cyber-Sicherheitsfirma enSilo eine neue Code-Injection-Angriffstechnik namens . demonstriert „Prozess-Doppelgang“, wo alle Versionen von Windows als angreifbar bezeichnet werden.
Mit der Angriffsmethode lassen sich Forschern zufolge sogar aktualisierte moderne AV-Software umgehen und bösartige Codes ausführen, die Sicherheitsunternehmen bereits bekannt sind.
Process Doppelganging ähnelt in gewisser Weise Process Hollowing – einer Technik, die vor einigen Jahren von Angreifern verwendet wurde, um die Abwehrfähigkeiten von Sicherheitsprodukten zu überwinden, die jedoch heute von den meisten der heute wichtigsten Sicherheitsprodukte erkannt wird. Aber Process Doppelgänging ist fortgeschrittener und ausweichend. Es ist viel schwieriger zu erkennen – geschweige denn zu verhindern.
Im Gegensatz zu Process Hollowing verwendet Process Doppelgänging den Windows-Mechanismus von NTFS-Transaktionen, um Änderungen an einer ausführbaren Datei vorzunehmen. Die vorgenommenen Änderungen werden nie auf die Festplatte geschrieben, daher ähnelt dies einem dateilosen Angriff, der von Sicherheitsscannern und fortschrittlichen forensischen Tools nicht verfolgt werden kann. Die modifizierte ausführbare Datei wird dann unter Verwendung des Windows-Prozesslademechanismus geladen.
„Doppelgänging funktioniert, indem zwei wichtige unterschiedliche Funktionen zusammen verwendet werden, um das Laden einer modifizierten ausführbaren Datei zu maskieren. Durch die Verwendung von NTFS-Transaktionen nehmen wir Änderungen an einer ausführbaren Datei vor, die niemals tatsächlich auf die Festplatte übertragen wird. Wir verwenden dann undokumentierte Implementierungsdetails des Prozesslademechanismus, um unsere modifizierte ausführbare Datei zu laden, jedoch nicht, bevor wir die Änderungen, die wir an der ausführbaren Datei vorgenommen haben, rückgängig machen. Das Ergebnis dieses Verfahrens ist die Erstellung eines Prozesses aus der modifizierten ausführbaren Datei, während Sicherheitsmechanismen im Dunkeln eingesetzt werden“, heißt es in einem enSilo Blog-Post .
Umgehungstechniken hängen normalerweise von der Speichermanipulation ab, aber die Forscher hier verwenden den Windows Loader und missbrauchen ihn, um ihren Code zu laden, um Sicherheitsscanner zu umgehen. Wie sie das gemacht haben, verrieten die Forscher nicht.
Wer ist davon betroffen?
Potenziell alle Versionen von Windows 10, und viele führende AV-Software sind betroffen.
Laut den Forschern gibt es keine Möglichkeit, einen Patch herauszugeben, da der Angriff mehrere grundlegende Funktionen und Kernprozesse des Windows-Lademechanismus ausnutzt. Allerdings ist es für Angreifer auch schwer, Doppelgänging zu implementieren, da es ein genaues Verständnis von Binärdateien und Prozesskreationen erfordert, die von den Forschern nicht dokumentiert werden. Es ist jedoch ein Gefühl der Erleichterung!
Ein vollständiges Exemplar des Forschungsmaterials zum Prozess Doppelgänger ist erhältlich bei der enSilo-Website Dort können Sie sich auch für ein kostenloses Webinar anmelden, das sich mit dem Angriff und seiner Abwehr befasst.
