Эксперты, представляющие компанию enSilo, показали публике новый метод взлома всех версий ОС Windows. Данная вредоносная схема работает на всех версиях Windows, обходя большинство актуальных на сегодняшний день продуктов безопасности.
Профессионалы рассказали, что для использования Process Doppelganging атакующим нужно знать большое количество недокументированных деталей о работе и создании процессов, иными словами врядли преступникам удастся просто взять данную технику на вооружение.
Новому методу дали название Process Doppelganging, он «заражает» компьютер вирусной программой при помощи устройств файловой системы NTFS. В enSilo модифицировали атаку, чтобы ее было труднее выявить.
Результатом данной процедуры является создание процесса модифицированного исполняемого файла, при этом антивирусные программы даже не догадываются о том, что происходит что-то зловредное.
По утверждению разработчиков, новый вирус способен пересилить защиту любой антивирусной программы. К этому большинству относятся разработки всех крупнейших и известнейших мировых разработчиков: ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast, Panda и «Лаборатории Касперского». В процессе опыта при помощи Process Doppelganging профессионалы enSilo запустили пользующуюся популярностью утилиту для восстановления и кражи паролей Mimikatz. В то же время пагубный код удалось запустить в виде легитимного процесса. Для этого используются NTFS транзакции.
Хорошей новостью является тот факт, что реализация Process Doppelgänging имеет огромное количество технических сложностей, поэтому ее смогут выполнить только подкованные злоумышленники.
Теги: Интернет
