Auf der BlackHat Europe 2017-Konferenz demonstrierten Sicherheitsforscher von enSilo einen neuen Code-Injection-Angriff für Windows OS mit dem Namen „Process Doppelganging“.

Die Angriffsmethode kann verwendet werden, um sogar aktualisierte moderne AV-Software zu umgehen und schädliche Codes auszuführen, die Sicherheitsunternehmen bereits bekannt sind.

Das Gleiche geschieht, indem fischartige Dinge wie ein legitimer Windows-Prozess aussehen, der Sicherheitsprodukte leicht umgehen kann. Die Malware kann schließlich zu Lösegelddateien führen, Tastatureingaben überwachen oder vertrauliche Informationen stehlen.

Process Doppelganging ist vergleichbar mit Process Hollowing - einer Methode, die vor einigen Jahren von Hackern verwendet wurde, jedoch von den meisten Sicherheitssoftware erkannt wird. Die jüngste Verwendung von Process Hollowing im Fall von Scarab Ransomware, die sich über 12,5 Millionen E-Mails verbreitete.

Doppelgänging ist fortgeschrittener und ausweichender. Es ist auch viel schwieriger zu erkennen. Der Unterschied liegt in der Funktionsweise. Process Doppelgänging verwendet eine Funktion namens Transactional NTFS (TxF) in Windows, um Änderungen an einer ausführbaren Datei vorzunehmen.

Die vorgenommenen Änderungen werden niemals auf die Festplatte geschrieben. Es handelt sich also um einen dateilosen Angriff, der von einer AV-Software nicht verfolgt werden kann. Die geänderte ausführbare Datei wird dann unter Verwendung des Windows-Prozesslademechanismus geladen. Die Forscher haben nicht gesagt, wie sie es getan haben.

„Das Ergebnis dieser Prozedur ist die Erstellung eines Prozesses aus der modifizierten ausführbaren Datei, während die eingesetzten Sicherheitsmechanismen im Dunkeln bleiben“, liest ein enSilo-Blogbeitrag.

Möglicherweise sind alle Versionen von Windows-Versionen von Vista bis Windows 10 und viele führende SV-Software betroffen. Die Liste enthält Kaspersky, Bitdefender, ESET, McAfee, Windows Defender, AVG, Avast, Panda, Symantec usw.

Den Forschern zufolge gibt es keine Möglichkeit, einen Patch herauszugeben, da der Angriff mehrere grundlegende Funktionen und das Kerndesign des Prozessladens in Windows nutzt.

Es gibt keine Sicherheitslücke, die ausgenutzt wird. Es ist eine Ausweichmethode. Die Forscher reichten ihre Ergebnisse an Microsoft weiter, aber das Unternehmen wird sich nicht damit befassen, da sie es auch nicht als Schwachstelle ansehen, sagte der Forscher Tal Liberman gegenüber ZDNet.

Eine Erleichterung ist jedoch, dass der Angriff ziemlich schwer auszuführen ist und einige Kenntnisse erfordert, die von den Forschern nicht dokumentiert werden.

Lesen Sie mehr über Process Doppelgänging über diesen Link.

Mehr von BlackHat Europe: Hacker aktivieren "GOD MODE", um den Intel ME-Chip wie einen Boss zu hacken

Arbeitete Für Sie: Robert Gaines & George Fleming | Möchten Sie Uns Kontaktieren?

Kommentare Auf Der Website: