محققین امنیتی روشی را شناسایی نموده اند که به طراحان بدافزار امکان می دهد تا بتوانند بسیاری از آنتی ویروس های جدید و ابزارهای فارنزیک را دور بزنند. این روش تزریق کد بدون فایل از امکانات یک تابع داخلی ویندوز استفاده می کند. این تکنیک برای اولین بار در کنفرانس Black Hat 2017 تحت عنوان تکنیکProcess Doppelgänging رونمایی گردید.
این تکنیک بر روی تمامی نسخه های جدید ویندوز از ویستا تا ویندوز 10 قابل اجراست. به گفته طراحان، این تکنیک مشابه روش Process Hollowing است که چند سال قبل برای دور زدن برخی محصولات امنیتی ارائه گردید. در حملهProcess Hollowing هکر حافظه مربوط به یک پروسس مجاز را با کد مخرب جایگزین می کنند تا به جای کد اصلی اجرا شود که ابزارهای آنتی ویروس و مانیتورینگ پروسس ها نمی توانند این موضوع را تشخیص دهند و فکر کنند با برنامه مجاز مواجه هستند. اما با توجه به اینکه تمامی ابزارهای آنتی ویروس مطرح با به روز رسانی خود جلوی حملات Process Hollowing را گرفته اند این تکنیک در حال حاضر کارآمد نیست.
اما تکنیکProcess Doppelgänging از روش متفاوتی استفاده می کند. این تکنیک با بهره گیری از تراکنش های NTFS و یک پیاده سازی منقضی شده از Windows process loader که ابتدا برای ویندوز XP طراحی شد ولی در تمامی نسخه های آتی ویندوز نیز ادامه پیدا کرد.
این تکنیک بر روی آنتی ویروس هایی هم چونWindows Defender, Kaspersky Labs, ESET NOD32 Symantec, Trend Micro, Avast, McAfee, AVG, Panda تست گردیده است. به گفته محققین برای دور زدن آنتی ویروس به همراه تکنیک فوق از ابزار Mimikatz نیز کمک گرفته شده است. این ابزار امکان استخراج اطلاعات پسوردهای سیستم را پس از فرآیند اکسپلویت از طریق پروسه lsass ویندوز فراهم می کند. به نظر می رسد شرکت های مطرح آنتی ویروس به دنبال به روز رسانی محصولات خود برای شناسایی بدافزارهایی که با این تکنیک طراحی شده اند باشند.
- منبع:
https://thehackernews.com/2017/12/malware-process-doppelganging.html