Doppelgänging - na ten rodzaj ataku jeszcze nie ma odpowiedzi. Antywirusy ślepe i bezradne

Robert Kędzierski
Podczas konferencji Black Hat Europe 2017 zaprezentowano zupełnie nowy rodzaj ataku na komputery z Windows. Programy antywirusowe i zabezpieczenia wbudowane w system pozostają ślepe i bezradne. Oprócz złych wiadomości są jednak i dobre.

Specjaliści zajmujący się cyberbezpieczeństwem podczas lonferencji Black Hat Europe 2017, która odbyła się w czwartek w Londynie, zaprezentowali nową technikę ataku. Pozwala ona wykonać dowolny kod na komputerze z Windows bez alarmowania programów antywirusowych czy usług związanych z wykrywaniem zagrożeń. 

Technika o nazwie Doppelgänging wykorzystuje mechanizm związany z mało znaną usługą NTFS Transactions.

Atak Polega na stworzeniu dwóch kopii pliku wykonywalnego. Jedna kopia, niegroźna, jest widoczna dla programów antywirusowych. Druga powstaje na skutek wydzielenia fragmentu pliku i utworzenia z niego procesu Windows. Może zawierać dowolny kod, który można wykonać. 

Czy przeciętny użytkownik ma czego się obawiać? Nową technikę ataku zna w tej chwili garstka hakerów. I do tego  tych noszących białe kapeluszeHakerzy w czarnych kapeluszach udowodnili jednak, że potrafią wykorzystywać podobne techniki. Zbliżoną metodę wykorzystywał Process Hollowing - zastępował jeden proces drugim ogłupiając programy antywirusowe. Wykorzystujący go wirus ransomware Scarab atakuje użytkowników od listopada tego roku. 

Co można zrobić, by ustrzec się przed atakiem? Niewiele, bo Doppelgänging przetestowano na niemal wszystkich wersjach Windows, od Visty po Windows 10. Zarówno systemy jak i programy antywirusowe są wobec nowego ataku bezbronne. Na szczęście potencjalną technikę ataku wykryli specjaliści od cyberbezpieczeństwa, jest zatem szansa, że metodę obrony uda się wypracować przed pojawieniem się fali ataków wykorzystujących Doppelgänging. 

***

Źródło: fossbytes.com

Więcej o:
Komentarze (33)
Doppelgänging - na ten rodzaj ataku jeszcze nie ma odpowiedzi. Antywirusy ślepe i bezradne
Zaloguj się
  • paczacz

    Oceniono 17 razy 15

    po co takie podchody. Pani Halinka u nas w biurze dostała maila, że numer konta się zmienia i dwieście tysięcy posłała hakierom. Użyli następującej metody włamania: poprosili ;)

  • otopolskiepieklo

    Oceniono 3 razy 1

    to że ktos odkrył mozliwość zabezpieczenia, dla nas akurat jest mało ważne, skoro MY nie możemy niczego zrobić - poza tym artykuł niespecjalnie cokolwiek wyjaśnia

  • nostradrianus

    0

    a mnie windows czasami 2x pyta o pin Czy to ma cos wspólnego z tym wirusem?

  • M Po

    Oceniono 2 razy 0

    Chyba czas się przesiąść na CP/M

  • szejski

    Oceniono 6 razy 0

    Mam takie całkiem głupie pytanie: w jaki sposób proces Windows przeżywa restart komputera?

Aby ocenić zaloguj się lub zarejestrujX