Нова техника за заразяване на Windows застрашава потребителите. Process Doppelgänging е нов начин за избягване на защитните механизми в операционната система на Майкрософт и не се засича от почти всички антивирусни продукти.
Process Doppelgänging е открита от разработчиците по сигурността от Ensilo Eugene Kogan и Tal Liberman и обясняват, че това е техника за инжектиране на код, която използва вградена в Windows функция и недокументирана имплементация на зареждането на процеси при Windows . Те са съобщили за това, което са намерили днес на конференцията Black Hat 2017.
Новата опасност засяга всички версии на Windows от Vista до последната Windows 10, обясняват разработчиците. Process Doppelgänging се възползва от слабостите на остарялата имплементация на зареждането на процеси в Windows и на Windows NTFS Transactions.
Имплементацията на зареждането на процеси в Windows е изключително неактуална в днешни дни, защото тя е замислена за Windows XP, но след това започва да се използва от всички следващи версии на Windows до ден днешен.
Liberman съобщава още, че са тествали новата техника за заразяване с маулер при различни антивирусни продукти на известни компании като Kaspersky Lab, Symantec, Avast, Panda, McAfee, Trend Micro, AVG, ESET NOD32 и дори Windows Defender и всичките са я пропуснали, без да отчетат опасност. Те дори са използвали различни сложни съдебни инструменти, но и те не са могли да засекат опасността.
За да покажат нагледно как всяка една Windows машина може да бъде заразена, въпреки използването на антивирусен продукт и всички нови защитни функции, имплементирани в Windows 10, разработчиците правят демонстрация с експлойт инструмента Mimikatz, който се използва за кражба на пароли.
Symantec хваща инструмента веднага, както се вижда на снимката, но понеже се използва техниката Process Doppelgänging, всъщност той продължава да работи тайно, без антивирусният продукт да отбелязва каквато и да било опасност:
Както се вижда от снимката, процесът е стартиран, съществува необезпокояван и е готов да свърши своята злонамерена работа.
Liberman съобщава и един интересен факт – Process Doppelgänging не работи при Windows 10 Redstone и Fall Creators Update, поради друг бъг, който предизвиква син екран на смъртта (BSOD). Впоследствие обаче от Майкрософт пускат кръпка за този бъг и Process Doppelgänging вече може да бъде използван при последните издания на Windows 10.
Едва ли от Майкрософт ще се разбързат да изкарват кръпка за Process Doppelgänging, което е рядко срещано явление при тях, затова на потребителите остава да разчитат изцяло на производителите на антивирусни продукти, от които се очаква да реагират възможно най-бързо, най-малкото заради престиж.
