Створена нова техніка введення коду, здатна обійти більшість сучасних антивірусів


Дізнайтесь більше про нові кар'єрні можливості в EchoUA. Цікаві проекти, ринкова оплата, гарний колектив. Надсилайте резюме та приєднуйтеся до нас.

На попередій конференції Black Hat Europe 2017 фахівці компанії enSilo представили нову техніку введення коду, що набула назви Process Doppelgänging. Цей вид атаки невловимий для більшої частини сучасних антивірусних програм і становить небезпеку для всіх версій операційної системи Windows.

Що ти таке?

Process Doppelgänging багато в чому схожа на техніку Process Hollowing. Вона так само створює копію очікуючого легітимного процесу з подальшою підміною оригіналу на “заражений”. Головна відмінність нової розробки – це робота через транзакції NTFS, що дозволяє уникнути використання підозрілих процесів у пам’яті. Запущений так само код здатний вправно обійти захисні механізми стандартних алгоритмів пошуку вірусу.

Нова техніка була успішно протестована на найпопулярніших антивірусах – жодному з них не вдалося виявити атаку.

Проте, за словами дослідників, поки що рано бити на сполох. Для використання цього інструмента хакерам необхідно розбиратися в “недокументованих деталях про створення процесів”. До того ж компанія enSilo вже розробила алгоритми виявлення Process Doppelgänging. Щоравда випуск патчів для нової техніки – завдання нездійсненне, оскільки атака працює з фундаментальними функціями Windows.

Інформація про деталі реалізації Process Doppelgänging доступна в офіційній презентації.

Джерело: Black Hat Europe

Київ, Харків, Одеса, Дніпро, Запоріжжя, Кривий Ріг, Вінниця, Херсон, Черкаси, Житомир, Хмельницький, Чернівці, Рівне, Івано-Франківськ, Кременчук, Тернопіль, Луцьк, Ужгород, Кам'янець-Подільський, Стрий - за статистикою саме з цих міст програмісти найбільше переїжджають працювати до Львова. А Ви розглядаєте relocate?


Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *