Перейти к содержимому



Новый метод атаки на любые версии Windows невидим для всех антивирусов


  • Вы не можете ответить в тему
  • Вы не можете создать новую тему
Сообщений в теме: 2

#1 OFFLINE   Ramerup

 

    Cторожевая собака форума

  • [Супер Модератор]
  • PipPipPipPipPipPipPipPipPipPipPipPip
  • сообщений: 11 674
    Последний визит:
    Вчера, 18:50
  • Пол:Мужчина
  • Откуда:Санкт-Петербург
 

Отправлено 09 Декабрь 2017 - 00:04

Изображение
Работа замаскированной Process Doppelgänging банковской утилиты. Скриншот: enSilo

Hi-Tech.Mail.Ru
15 часов назад


На конференции Black Hat Europe 2017 эксперты по кибербезопасности из компании enSilo описали новый метод атаки под названием «Process Doppelgänging». Эта вредоносная схема работает на всех версиях Windows, и остается невидимой для большинства современных продуктов безопасности


Эксперты установили, что с помощью использования транзакций NTFS можно внести изменения в исполняемый файл. Далее, Process Doppelgänging способна замаскировать загрузку этого модифицированного файла. Антивирусные программы даже не догадываются о том, что компьютер подвергся атаке, поскольку вредоносный код, используемый Process Doppelgänging, не сохраняется на диске.

Эксперты безопасности протестировали атаку на продуктах ведущих компаний: Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda. В своих экспериментах исследователи использовали Process Doppelgänging для запуска Mimikatz, известной утилиты, используемой для кражи паролей.

Изображение
Ни один из антивирусов не среагировал на атаку. Скриншот: enSilo

«Обнаруженный нами способ позволяет запускать любой вредоносный код под видом легитимного процесса на машине с любой из ОС Windows. Технология позволяет перезаписать любой “хороший” файл, внедрив в него вредоносный код. Антивирусные продукты ничего не замечают, так как вредоносный процесс выглядит как легитимный», — предупреждают эксперты enSilo.

Изображение
Работа замаскированной Process Doppelgänging банковской утилиты. Скриншот: enSilo

Впрочем, следует сказать, что технология Process Doppelgänging чрезвычайно сложна в исполнении, поэтому воспользоваться ей смогут только очень подкованные злоумышленники. С другой стороны, эксперты сообщают, что на данный момент эту брешь закрыть никак нельзя.

****


Shadow Defender :smile:

#2 OFFLINE   mikbar

 

    Мастер

  • [Супер Модератор]
  • PipPipPipPipPipPipPipPipPipPipPip
  • сообщений: 3 254
    Последний визит:
    Вчера, 11:56
  • Пол:Мужчина
  • Откуда:Санкт-Петербург, Россия
 

Отправлено 14 Декабрь 2017 - 09:44

Вариант - ставить новый Acronis со службой Active Protection. Он на все реагирует - даже на установку дополнений к играм, легальным! И, главное, на попытку изменения процесса.

#3 OFFLINE   Ramerup

 

    Cторожевая собака форума

  • [Супер Модератор]
  • PipPipPipPipPipPipPipPipPipPipPipPip
  • сообщений: 11 674
    Последний визит:
    Вчера, 18:50
  • Пол:Мужчина
  • Откуда:Санкт-Петербург
 

Отправлено 14 Декабрь 2017 - 12:41

хз, тут речь об антивирусах, а вот что касается HIPS тут вопрос.. мой камод реагирует даже на попытку получить доступ к процессу, про остальное не говорю, всякое подозрительное блокируется мной вручную или автоматом (так настроен) когда меня нет на месте - уже на этом, начальном уровне..

смотрим.jpg смотрим-2.jpg

смотрим-3.jpg

это всё легитимное, но к DNS/RPC я никому автоматом доступа не выписываю..
вот если меня нет на месте, то через 120 сек. эти окошки закроются и желающие не получат желаемого))





Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных