Doppelgänging - najnowszy rodzaj ataku, przy którym większość antywirusów będzie bezradna

Podczas konferencji Black Hat Europe 2017 zaprezentowano zupełnie nowy rodzaj ataku na komputery z Windows. Programy antywirusowe i zabezpieczenia wbudowane w system pozostają ślepe i bezradne. Oprócz złych wiadomości są jednak i dobre.

Specjaliści zajmujący się cyberbezpieczeństwem podczas eventu Black Hat Europe 2017 w Londynie (początek grudnia), zaprezentowali pierwszy raz tę nową technikę ataku, który pozwala wykonać dowolny kod na komputerze z Windows bez alarmowania programów antywirusowych czy usług związanych z wykrywaniem zagrożeń. Podatność nazwano Doppelgänging i wykorzystuje mechanizm związany z mało znaną usługą NTFS Transactions.

 



„Process Doppelgänging attack allows malware to bypass most Antivirus software including Windows Defender, Kaspersky Labs, ESET NOD32, Symantec, Trend Micro, Avast, McAfee, AVG, Panda and more.”

Ten sprytny atak polega na stworzeniu dwóch kopii pliku wykonywalnego. Jedna kopia, niegroźna, jest widoczna dla programów antywirusowych i oczywiście jest sprawdzana. Druga powstaje na skutek wydzielenia fragmentu pliku i utworzenia z niego procesu Windows. Może zawierać dowolny kod, który można wykonać, a program AV już wcześniej założył, że ten rodzaj pliku jest bezpieczny. 

Nową technikę ataku zna w tej chwili garstka hakerów i co najważniejsze - tych „dobrych”. Hakerzy źli udowodnili jednak wielokrotnie, że potrafią wykorzystywać podobne techniki. Zbliżoną metodę wykorzystywał Process Hollowing - zastępował jeden proces drugim ogłupiając programy antywirusowe. Wykorzystujący go  m.in. ransomware Scarab atakuje użytkowników od listopada tego roku. 

Co można zrobić, by ustrzec się przed atakiem? Tutaj wiadomości są niestety złe, poniweważ Doppelgänging przetestowano na niemal wszystkich wersjach Windows, od Visty po Windows 10. Zarówno systemy jak i programy antywirusowe były wobec nowego ataku bezbronne. Pozostaje mieć nadzieję, że dostawcy usług bezpieczeństwa szybko znajdą skuteczny sposób na wykrycie takich ataków.