Δυο ερευνητές ασφαλείας από την εταιρεία enSilo ανακάλυψαν μια νέα τεχνική code injection με όνομα Process Doppelganging. Ο νέος τρόπος επίθεσης λειτουργεί για τις περισσότερες εκδόσεις Windows και προσπερνά σχεδόν όλα τα προϊόντα ασφαλείας.
Η τεχνική που χρησιμοποιεί μοιάζει πολύ με αυτήν του “Process Hollowing” που χρησιμοποιεί το Scarab Ransomware, ωστόσο έχει κάποιες λεπτομέρειες που την διαφοροποιούν. Το Doppelganging δουλεύει εκμεταλλευόμενο την λειτουργία NTFS Transaction. Έχει την δυνατότητα να κάνει αλλαγές σε εκτελέσιμα αρχεία χωρίς αυτές να καταγράφονται στον δίσκο. Δημιουργεί μια ψεύτικη καταχώρηση στην μνήμη και τα αρχεία φορτώνονται κανονικά από τα Windows. Ο οποιοσδήποτε κακόβουλος κώδικας συνεχίζει να τρέχει χωρίς κανένα πρόβλημα. Οι ερευνητές ταυτόχρονα με την όλη διαδικασία δοκίμαζαν διάφορα προγράμματα ασφαλείας αλλά τα αποτελέσματα ήταν αποθαρρυντικά. Συγκεκριμένα, δοκίμασαν τα εξής:
- Windows Defender Windows 10 (ByPass)
- AVG Internet Security Windows 10 (ByPass)
- Bitdefender Windows 10 (ByPass)
- ESET NOD 32 Windows 10 (ByPass)
- Qihoo 360 Windows 10 (ByPass)
- Symantec Endpoint Protection Windows 7 SP1 (ByPass)
- McAfee VSSE 8.8 Patch 6 Windows 7 SP1 (ByPass)
- Kaspersky Endpoint Security 10 Windows 7 SP1 (ByPass)
- Kaspersky Antivirus 18 Windows 7 SP1 (ByPass)
- Symantec Endpoint Protection 14 Windows 7 SP1 (ByPass)
- Panda Windows 8.1 (ByPass)
- Avast Windows 8.1 (ByPass)
Όπως φαίνεται, η τεχνική Process Doppelgänging κατάφερε και ξεγελάσει τα συγκεκριμένα λογισμικά ασφαλείας, γεγονός που προβληματίζει τις εταιρείες αλλά και τους χρήστες.
Τα καλά νέα είναι ότι οι ερευνητές δεν αποκάλυψαν αναλυτικά τα βήματα που ακολούθησαν για να εκμεταλλευτούν το κενό ασφαλείας, ωστόσο τόνισαν ότι η διαδικασία απαιτεί υψηλές γνώσεις και περιέχει πολλές τεχνικές δυσκολίες.
Τα κακά νέα είναι ότι δεν φαίνεται να υπάρχει κάποια εύκολη λύση προκειμένου να διορθωθεί το κενό αυτό καθώς εκμεταλλεύεται κάποια βασικά χαρακτηριστικά του πυρήνα σχεδίασης των Windows.
