От нового типа хакерских атак не защищена ни одна из версий Windows
От нового типа хакерских атак не защищена ни одна из версий Windows
Технические специалисты компании enSilo довели до сведения участников конференции Black Hat Europe 2017 о появлении нового метода атак на персональные компьютеры. Новый способ, получивший название Process Doppelgnging, позволяет хакерам обходить все имеющиеся антивирусные программы и извлекать конфиденциальные данные пользователей всех версий ОС Windows.
Специалисты по безопасности компании enSilo преодолели практически все антивирусные программы: «Лаборатории Касперского», ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Bitdefender, Qihoo 360, Panda и Volatility (специальный антивирус для киберкриминалистов). Компьютеры работали под управлением ОС Windows 10, 8.1 и 7 SP1.
По способу проникновения и похищения данных Process Doppelgnging аналогичен Process Hollowing. Суть метода проникновения заключается в создании легитимного процесса и дальнейшей замене безопасного кода – кодом для взлома персональных данных. Основные антивирусные программы уже адаптировались к Process Hollowing и научились эффективно его блокировать.
Специалисты enSilo усовершенствовали методику атаки для усложнения её выявления. Process Doppelgnging основана на использовании NTFS для изменения легитимных файлов и выполнения вредоносного кода, который не попадает на компьютер пользователя, что усложняет его обнаружение.
В качестве демонстрации методики Process Doppelgnging была запущена программа Mimikatz, предназначенная для похищения и восстановления паролей. Злоумышленники должны обладать знаниями о работе и создании процессов, что пока делает атаки с использованием данного метода единичным явлением. Однако защиту от Process Doppelgnging нельзя установить путём выпуска очередного патча – злоумышленники работают с фундаментальными механизмами функционирования Windows.
#Windows@cloudytech