czwartek 21 grudnia 2017, Poradnik bezpieczeństwa

Doppelgänging - atak na komputery z Windows i bezradne antywirusy

Lost24

Na konferencji Black Hat Europe 2017 w Londynie zaprezentowano nową technikę ataku - Doppelgänging skierowaną w sprzęt z systemem Windows. Doppelgänging jest o tyle niebezpieczna, gdyż nie jest wykrywalna przez programy antywirusowe i wykorzystuje mechanizm powiązany z usługą NTFS Transactions. Został on opracowany przez ekspertów z firmy enSilo i opiera się na zmianie zawartości pliku bez zapisu modyfikacji na dysku.


Atak jest niewidoczny dla programów antywirusowych, gdyż wykorzystuje systemowe mechanizmy NTFS, gdzie pliki nie są sprawdzane przez system zabezpieczający i w tym czasie jest możliwe utworzenie procesu ze złośliwym kodem.


Nową technikę testowano na systemie Windows 7 SP1, Windows 8.1 i Windows 10, przy użyciu najpopularniejszych programów antywirusowych jak Kaspersky, Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360 i Panda. Podczas testów udało się uruchomić program szpiegujący Mimikatz.


Pocieszeniem jest to, iż zaprezentowana technika jest na tyle trudna do wykorzystania, że może upłynąć trochę czasu aż cyberprzestępcom uda się przygotować odpowiednie expolity.