Безфайлова атака Process Doppelgänging: шкідливий код не записується на диск і тому невидимий для всіх антивірусів
Транзакції NTFS
Експерти компанії enSilo продемонстрували на Black Hat Europe 2017 нову методику ін'єкції коду, яка працює під усіма версіями Windows і дозволяє обходити більшу частину сучасних засобів безпеки.
Методика працює, використовуючи особливості механізму транзакцій у фірмовій файловій системі Windows NTFS.
«За допомогою NTFS-транзакцій ми вносимо зміни до файлу, що виконується, який, втім, не потрапить на диск. Потім ми використовуємо недокументовані аспекти механізму завантаження процесів для завантаження модифікованого файлу, але не раніше, ніж відкотимо внесені нами зміни. В результаті цієї процедури запускається процес саме зі зміненого файлу, що виконується, який при цьому не перехоплюють захисні засоби», - йдеться в описі методики.
Антивіруси не бачать
Йдеться про безфайлову атаку: шкідливий код не записується на диск і тому для більшості антивірусів не видно. До цієї більшості належать розробки всіх найбільших і найвідоміших світових розробників: ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast, Panda та Лабораторії Касперського.
Атаку не можуть виявити навіть такі просунуті засоби ретроспективного аналізу, як Volatility. Мета атаки - дозволити шкідливому ПЗ запускати довільний (знову ж таки, шкідливий) код на машині жертви в контексті легітимного процесу.
Атака дуже схожа на методику Process Hollowing, однак, як пояснили дослідники, ключовим завданням для них було не використовувати жодних «підозрілих» процесів чи операцій із пам'яттю типу SuspendProcess чи NtUnmapViewOfSection.
«Для досягнення цієї мети ми використовуємо транзакції NTFS. Ми перезаписуємо легітимний файл у контексті транзакції. Потім ми створюємо секцію з модифікованого файлу (в контексті транзакції) та створюємо з неї процес. Як з'ясовується, сканування процесу в процесі транзакції перевіреними нами антивірусами неможливе (деякі навіть підвисають), а оскільки ми відкочуємо транзакцію, наші дії не залишають жодних слідів», - пишуть експерти enSilo.
Тобто, з точки зору антивірусів, шкідливий процес легітимний і безпечний, тоді як зловмисники, які його запустили, можуть робити вже будь-які дії на атакованій машині.
Атака не для всіх
Єдине, що більш-менш обнадіює, це те, що методика Process Doppelgänging досить складна у виконанні. Потенційним зловмисникам доведеться знати безліч «незадокументованих аспектів», пов'язаних із створенням процесу, зазначають дослідники.
З іншого боку, випуск патчу проти цієї проблеми неможливий, оскільки методика експлуатує не вразливість, а фундаментальні функції та механізми запуску будь-яких процесів у Windows.
Очевидно, ця методика використовуватиметься лише найбільш просунутими фахівцями, діяльність яких оплачують великі комерційні структури та держави. Малоймовірно, щоб середньостатистичний хакер матиме необхідні знання. А ось для високопрофесійних кібершпигунів ця методика виглядає дуже багатообіцяюче
