Doppelgänging - na ten rodzaj ataku jeszcze nie ma odpowiedzi. Antywirusy ślepe i bezradne

Robert Kędzierski
Podczas konferencji Black Hat Europe 2017 zaprezentowano zupełnie nowy rodzaj ataku na komputery z Windows. Programy antywirusowe i zabezpieczenia wbudowane w system pozostają ślepe i bezradne. Oprócz złych wiadomości są jednak i dobre.

Specjaliści zajmujący się cyberbezpieczeństwem podczas lonferencji Black Hat Europe 2017, która odbyła się w czwartek w Londynie, zaprezentowali nową technikę ataku. Pozwala ona wykonać dowolny kod na komputerze z Windows bez alarmowania programów antywirusowych czy usług związanych z wykrywaniem zagrożeń. 

Technika o nazwie Doppelgänging wykorzystuje mechanizm związany z mało znaną usługą NTFS Transactions.

Atak Polega na stworzeniu dwóch kopii pliku wykonywalnego. Jedna kopia, niegroźna, jest widoczna dla programów antywirusowych. Druga powstaje na skutek wydzielenia fragmentu pliku i utworzenia z niego procesu Windows. Może zawierać dowolny kod, który można wykonać. 

Czy przeciętny użytkownik ma czego się obawiać? Nową technikę ataku zna w tej chwili garstka hakerów. I do tego  tych noszących białe kapeluszeHakerzy w czarnych kapeluszach udowodnili jednak, że potrafią wykorzystywać podobne techniki. Zbliżoną metodę wykorzystywał Process Hollowing - zastępował jeden proces drugim ogłupiając programy antywirusowe. Wykorzystujący go wirus ransomware Scarab atakuje użytkowników od listopada tego roku. 

Co można zrobić, by ustrzec się przed atakiem? Niewiele, bo Doppelgänging przetestowano na niemal wszystkich wersjach Windows, od Visty po Windows 10. Zarówno systemy jak i programy antywirusowe są wobec nowego ataku bezbronne. Na szczęście potencjalną technikę ataku wykryli specjaliści od cyberbezpieczeństwa, jest zatem szansa, że metodę obrony uda się wypracować przed pojawieniem się fali ataków wykorzystujących Doppelgänging. 

***

Źródło: fossbytes.com

Więcej o:
Komentarze (33)
Doppelgänging - na ten rodzaj ataku jeszcze nie ma odpowiedzi. Antywirusy ślepe i bezradne
Zaloguj się
  • psyhodelic

    Oceniono 9 razy -3

    Jeszce będziecie płakać za Kasperskim

  • gravity1287

    Oceniono 1 raz -1

    Programy antywirusowe nie wykrywają? Ale czy inne programy od zabezpieczeń nie wykrywają zagrożenia?

  • stanislaw.kupiec

    Oceniono 3 razy -1

    specjaliści wykryli okazję i już podjęli działania - poszli na kawę z programem antywirusowym

  • nostradrianus

    0

    a mnie windows czasami 2x pyta o pin Czy to ma cos wspólnego z tym wirusem?

  • M Po

    Oceniono 2 razy 0

    Chyba czas się przesiąść na CP/M

  • szejski

    Oceniono 6 razy 0

    Mam takie całkiem głupie pytanie: w jaki sposób proces Windows przeżywa restart komputera?

  • rasta-mw

    0

    można zmienić system plików z NTFS na REFS, choć konwersja wymaga trochę roboty, to załatwia sprawę ;)

  • ksobier

    0

    Programy antywirusowe sa do wykrywania wirusow, a to sa programy, ktore wirusami nie sa, az do momentu aktywacji. Czyli kolejny raz mamy doczynienia z atakami typu: daj mi dostep do swojego komputera, a ja zrobie co zechce. Rada? Nie uruchamiaj programow, ktore zostaly przyslane do ciebie mailem. Zadnych! Jesli ktos ma ci przyslac 'program' z banku, ubezpieczalni, rzadu najpierw spytaj czy mozesz do nich zadzwonic. Jesli mozesz, popros o potwierdzenie, ze taki program musisz zainstalowac. To jest pierwsza z wielu rzeczy, ktore trzeba zrobic.
    Ransomwary po uruchomieniu tez buszuja po komputerze przez kilka-kilkanascie minut niszczac pliki zanim je antywirus wykryje.

Aby ocenić zaloguj się lub zarejestrujX