{
    "version": "https:\/\/jsonfeed.org\/version\/1.1",
    "title": "Копытов Иван: заметки с тегом ntfs",
    "_rss_description": "Блог ленивого сисадмина",
    "_rss_language": "ru",
    "_itunes_email": "",
    "_itunes_categories_xml": "",
    "_itunes_image": "",
    "_itunes_explicit": "",
    "home_page_url": "https:\/\/kini24.ru\/tags\/ntfs\/",
    "feed_url": "https:\/\/kini24.ru\/tags\/ntfs\/json\/",
    "icon": false,
    "authors": [
        {
            "name": "Копытов Иван",
            "url": "https:\/\/kini24.ru\/",
            "avatar": false
        }
    ],
    "items": [
        {
            "id": "133",
            "url": "https:\/\/kini24.ru\/all\/nayden-novy-metod-ataki-na-lyubye-versii-windows\/",
            "title": "Найден новый метод атаки на любые версии Windows",
            "content_html": "<h2>Просто процитирую новость, на мой взгляд очень любопытно. Взято <a href=\"http:\/\/internetua.com\/naiden-novi-metod-ataki-na-luabe-versii-windows\">отсюда<\/a>.<\/h2>\n<p>На лондонской конференции Black Hat Europe 2017 представлена новая методика инъекции кода Process Doppelgänging (создание двойников процессов). Методика позволяет обходить большую часть сегодняшних продуктов безопасности и работает на всех версиях Windows.<\/p>\n<p><b>Транзакции NTFS<\/b><\/p>\n<p>Эксперты компании enSilo продемонстрировали на Black Hat Europe 2017 новую методику инъекции кода, которая работает под всеми версиями Windows и позволяет обходить большую часть современных средств безопасности.<\/p>\n<p>Методика работает, используя особенности механизма транзакций в фирменной файловой системе Windows NTFS.<\/p>\n<p>«С помощью NTFS-транзакций мы вносим изменения в исполняемый файл, который, впрочем, не попадет на диск. Затем мы используем недокументированные аспекты механизма загрузки процессов для загрузки модифицированного исполняемого файла, но не раньше, чем откатим внесенные нами изменения. В результате этой процедуры запускается процесс именно из измененного исполняемого файла, который при этом не перехватывают защитные средства», — говорится в описании методики.<\/p>\n<p><b>Антивирусы не видят<\/b><\/p>\n<p>Речь идет о бесфайловой атаке: вредоносный код не записывается на диск и потому для большинства антивирусов не виден. К этому большинству относятся разработки всех крупнейших и известнейших мировых разработчиков: ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast, Panda и «Лаборатории Касперского».<\/p>\n<p>Атаку не могут обнаружить даже такие продвинутые средства ретроспективного анализа как Volatility. Цель атаки — позволить вредоносному ПО запускать произвольный (опять же, вредоносный) код на машине жертвы в контексте легитимного процесса.<\/p>\n<p>Атака очень похожа на методику Process Hollowing, однако, как пояснили исследователи, ключевой задачей для них было не использовать никаких «подозрительных» процессов или операций с памятью типа SuspendProcess или NtUnmapViewOfSection.<\/p>\n<p>«Чтобы достичь этой цели мы используем транзакции NTFS. Мы перезаписываем легитимный файл в контексте транзакции. Затем мы создаем секцию из модифицированного файла (в контексте транзакции) и создаем из нее процесс. Как выясняется, сканирование процесса в процессе транзакции проверенными нами антивирусами невозможно (некоторые даже подвисают), а поскольку мы откатываем в итоге транзакцию, наши действия не оставляют никаких следов», — пишут эксперты enSilo.<\/p>\n<p>То есть, с точки зрения антивирусов, вредоносный процесс легитимен и безопасен, в то время как запустившие его злоумышленники могут совершать уже любые действия на атакованной машине.<\/p>\n<p><b>Атака не для всех<\/b><\/p>\n<p>Единственное, что более-менее обнадеживает, это что методика Process Doppelgänging довольно сложна в исполнении. Потенциальным злоумышленникам придется знать множество «незадокументированных аспектов», связанных с созданием процесса, указывают исследователи.<\/p>\n<p>С другой стороны, выпуск патча против этой проблемы невозможен, поскольку методика эксплуатирует не уязвимости, а фундаментальные функции и механизмы запуска любых процессов в Windows.<\/p>\n<p>«По-видимому, эта методика будет использоваться только наиболее продвинутыми специалистами, деятельность которых оплачивают крупные коммерческие структуры и государства, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Маловероятно, чтобы среднестатистический хакер будет обладать необходимыми знаниями. А вот для высокопрофессиональных кибершпионов данная методика выглядит весьма многообещающе»<\/p>\n",
            "date_published": "2017-12-09T16:45:52+07:00",
            "date_modified": "2017-12-10T15:04:38+07:00",
            "tags": [
                "ntfs",
                "windows",
                "антивирус",
                "новость",
                "уязвимость"
            ],
            "_date_published_rfc2822": "Sat, 09 Dec 2017 16:45:52 +0700",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "133",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [],
                "og_images": []
            }
        }
    ],
    "_e2_version": 4134,
    "_e2_ua_string": "Aegea 11.3 (v4134)"
}