Thursdayaŭde, ĉe la BlackHat Eŭropo 2017 sekureca konferenco en Londono, du sekurecaj esploristoj de la ciber-sekureca firmao 'enSilo' montris novan teknikon de atako de kodinjekto nomata "Procesi Doppelganging," kie laŭdire ĉiuj versioj de Vindozo estas vundeblaj.
Laŭ esploristoj, la ataka metodo povas esti uzata por preteriri eĉ ĝisdatigitajn modernajn AV-programojn kaj ekzekuti malicajn kodojn, kiuj estas jam konataj de sekurecaj kompanioj.
Procezo-Doppelganging iom similas al Procezo-Kavigado - tekniko uzita de atakantoj antaŭ kelkaj jaroj por transiri la mildigajn kapablojn de sekurecaj produktoj sed nun detektita de plej multaj el la hodiaŭaj ĉefaj sekurecaj produktoj. Sed Procezo Doppelgänging estas pli progresinta kaj evitema. Ĝi estas multe pli malfacile detektebla - des malpli malhelpi.
Malsimile al Process Hollowing, Process Doppelgänging uzas la Vindozan mekanismon de NTFS-Transakcioj por fari ŝanĝojn al plenumebla dosiero. La ŝanĝoj faritaj neniam estas skribitaj al la disko, do ĝi similas al fileless atako, kiu ne povas esti spurita de iuj sekurecaj skaniloj kaj progresintaj krimmedicinaj iloj. La modifita plenumeblaĵo tiam estas ŝarĝita per la Vindoza procezo-ŝarĝa mekanismo.
"Doppelgänging funkcias uzante du ŝlosilajn distingajn trajtojn kune por maski la ŝarĝon de modifita efektivigebla. Uzante NTFS-transakciojn, ni faras ŝanĝojn al plenumebla dosiero, kiu neniam vere estos transigita al disko. Ni tiam uzos nedokumentitajn efektivigajn detalojn de la procezo-ŝarĝa mekanismo por ŝarĝi nian modifitan efektivigeblon, sed ne antaŭ redoni la ŝanĝojn, kiujn ni faris al la plenumebla. La rezulto de ĉi tiu procedo kreas procezon de la modifita plenumebla dosiero, dum deplojitaj sekurecaj mekanismoj en la mallumo, "legas enSilo blog.
Evadoteknikoj kutime dependas de la memormanipulado, sed esploristoj ĉi tie uzas fenestran ŝargilon kaj misuzas ĝin por ŝarĝi sian kodon por eviti sekurecajn skanilojn. La esploristoj ne diris kiel ili faris ĝin.
Kiun Efektas Ĉi tio?
Eble ĉiuj versioj de fenestroj 10, kaj multaj ĉefaj programoj AV estas trafitaj.
Laŭ la esploristoj, neniel eblas flikaĵo, ĉar la atako utiligas plurajn fundamentajn ecojn kaj kernan procezon de la ŝarĝa mekanismo de fenestroj. Tamen ankaŭ malfacilas por atakantoj efektivigi Doppelgänging, ĉar ĝi postulas akran komprenon pri Binaraj kaj procezaj kreaĵoj, kiujn la esploristoj ne dokumentas. Ĝi tamen sentas trankviliĝon!
Plena kopio de la esplora materialo pri Procezo Doppelgänging estas havebla ĉe la retejo de enSilo kie vi ankaŭ povas registriĝi por senpaga reteja seminario, kiu rigardos la atakon kaj kiel defendi kontraŭ ĝi.
