https://kini24.ru/tags/ntfs/ Блог ленивого сисадмина ru Aegea 11.3 (v4134) Блог ленивого сисадмина 133 https://kini24.ru/all/nayden-novy-metod-ataki-na-lyubye-versii-windows/ Sat, 09 Dec 2017 16:45:52 +0700 https://kini24.ru/all/nayden-novy-metod-ataki-na-lyubye-versii-windows/ <h2>Просто процитирую новость, на мой взгляд очень любопытно. Взято <a href="http://internetua.com/naiden-novi-metod-ataki-na-luabe-versii-windows">отсюда</a>.</h2> <p>На лондонской конференции Black Hat Europe 2017 представлена новая методика инъекции кода Process Doppelgänging (создание двойников процессов). Методика позволяет обходить большую часть сегодняшних продуктов безопасности и работает на всех версиях Windows.</p> <p><b>Транзакции NTFS</b></p> <p>Эксперты компании enSilo продемонстрировали на Black Hat Europe 2017 новую методику инъекции кода, которая работает под всеми версиями Windows и позволяет обходить большую часть современных средств безопасности.</p> <p>Методика работает, используя особенности механизма транзакций в фирменной файловой системе Windows NTFS.</p> <p>«С помощью NTFS-транзакций мы вносим изменения в исполняемый файл, который, впрочем, не попадет на диск. Затем мы используем недокументированные аспекты механизма загрузки процессов для загрузки модифицированного исполняемого файла, но не раньше, чем откатим внесенные нами изменения. В результате этой процедуры запускается процесс именно из измененного исполняемого файла, который при этом не перехватывают защитные средства», — говорится в описании методики.</p> <p><b>Антивирусы не видят</b></p> <p>Речь идет о бесфайловой атаке: вредоносный код не записывается на диск и потому для большинства антивирусов не виден. К этому большинству относятся разработки всех крупнейших и известнейших мировых разработчиков: ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast, Panda и «Лаборатории Касперского».</p> <p>Атаку не могут обнаружить даже такие продвинутые средства ретроспективного анализа как Volatility. Цель атаки — позволить вредоносному ПО запускать произвольный (опять же, вредоносный) код на машине жертвы в контексте легитимного процесса.</p> <p>Атака очень похожа на методику Process Hollowing, однако, как пояснили исследователи, ключевой задачей для них было не использовать никаких «подозрительных» процессов или операций с памятью типа SuspendProcess или NtUnmapViewOfSection.</p> <p>«Чтобы достичь этой цели мы используем транзакции NTFS. Мы перезаписываем легитимный файл в контексте транзакции. Затем мы создаем секцию из модифицированного файла (в контексте транзакции) и создаем из нее процесс. Как выясняется, сканирование процесса в процессе транзакции проверенными нами антивирусами невозможно (некоторые даже подвисают), а поскольку мы откатываем в итоге транзакцию, наши действия не оставляют никаких следов», — пишут эксперты enSilo.</p> <p>То есть, с точки зрения антивирусов, вредоносный процесс легитимен и безопасен, в то время как запустившие его злоумышленники могут совершать уже любые действия на атакованной машине.</p> <p><b>Атака не для всех</b></p> <p>Единственное, что более-менее обнадеживает, это что методика Process Doppelgänging довольно сложна в исполнении. Потенциальным злоумышленникам придется знать множество «незадокументированных аспектов», связанных с созданием процесса, указывают исследователи.</p> <p>С другой стороны, выпуск патча против этой проблемы невозможен, поскольку методика эксплуатирует не уязвимости, а фундаментальные функции и механизмы запуска любых процессов в Windows.</p> <p>«По-видимому, эта методика будет использоваться только наиболее продвинутыми специалистами, деятельность которых оплачивают крупные коммерческие структуры и государства, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Маловероятно, чтобы среднестатистический хакер будет обладать необходимыми знаниями. А вот для высокопрофессиональных кибершпионов данная методика выглядит весьма многообещающе»</p>