Stało się znane jako proces Doppelgänging i jest nową techniką, która wykorzystuje funkcję Okna i program ładujący procesy w tym samym systemie. Dlatego badacze bezpieczeństwa, którzy go odkryli, właśnie przedstawili swoje odkrycia na konferencji poświęconej bezpieczeństwu Czarny kapelusz 2017 oraz Londyn ten W rzeczywistości proces o nazwie Doppelgänging działa we wszystkich najnowszych wersjach systemu Windows, zwłaszcza Windows Vista w najnowszej wersji systemu Windows 10.
Tal Liberman, szef zespołu badawczego, mówi tak technika obchodzenia złośliwego oprogramowania jest podobny do „Process Hollowing”, metody odkrytej kilka lat temu i używanej przez atakujących do „przezwyciężenia” mniej produkty bezpieczeństwo ten W tym podejściu osoby atakujące zastępują pamięć o legalnym procesie: złośliwy kod aby działał zamiast oryginału, w ten sposób oszukując antywirus i narzędzia do analizy procesów i „myślenie”, że początkowy proces jest tym, który jest w toku.
Ponieważ wszystkie pakiety antywirusowe i bezpieczeństwa zostały już zaktualizowane w celu wykrywania ataków Proces wiercenia wspomniano powyżej , zastosowanie tej techniki już za nami. Jednak obecny proces Doppelgänging to zupełnie inne podejście do osiągnięcia tego celu, ponieważ wykorzystuje „ Transakcje Windows NTFS Oraz przestarzałą aplikację System Process Manager firmy Microsoft System, która została pierwotnie zaprojektowana Windows XP ale co obejmuje wszystkie późniejsze wersje rejestrator dryf.
Jak działa ten nowy atak na Windows
Powiedz, że transakcja NTFS jest funkcją Okna pozwalając na tworzenie, modyfikowanie, zmianę nazwy i Usuń pliki i katalogi na nich Wyniki , który umożliwia również programistom aplikacji tworzenie odpowiednich procedur wyjściowych. Dlatego atak ten najpierw przetwarza legalnie wykonywalny plik, a następnie zastępuje go złośliwym plikiem. Następnie tworzy moduł pamięci ze złośliwego pliku i usuwa wszelkie zmiany wprowadzone w legalnym pliku wykonywalnym.
Usunięta już aplikacja Windows jest następnie używana do wdrożenia edytować, przetwarzać z sekcją pamięć Wstępnie utworzony, czyli tak naprawdę zawiera złośliwy kod, dzięki czemu jest niewidoczny dla większości ludzi Z mechanizm aktualne zabezpieczenia. W rzeczywistości większość programów antywirusowych, takich jak m.in. Windows Defender , Kaspersky Lab , ESET NOD32 , Symantec , Trend Micro , Avast , McAfee, AVG lub Panda został przetestowany , z negatywnymi wynikami, to wszystko.
Doppelgänging działa nawet w najnowszych wersjach systemu Windows 10, z wyjątkiem Twórcy jesiennej aktualizacji gdzie zastosowanie procedury Doppelgänging skutkuje wyświetleniem niebieskiego ekranu powodującego awarię PC ten