Process Doppelgänging – hoạt động trên tất cả các phiên bản Windows và bypass các antivirus

By | 9:28 am | 08/12/2017

Một kỹ thuật mới – Process Doppelgänging – có thể bypass hầu hết các chương trình antivirus và các công cụ điều tra số hiện nay

Mimikatz-malware-hacking
Các nhà nghiên cứu bảo mật của Ensilo, Tal Liberman và Eugene Kogan, đã phát hiện ra cuộc tấn công Process Doppelgänging và trình bày những phát hiện của họ tại Black Hat 2017 Security London.

1. Process Doppelgänging

Process Doppelgänging là một kỹ thuật fileless attack mới ảnh hưởng đến tất cả các phiên bản của hệ điều hành Microsoft Windows, bắt đầu từ Windows Vista đến phiên bản mới nhất của Windows 10.

Theo Tal Liberman, kỹ thuật này tương tự như kỹ thuật Process Hollowing.

  • Theo kỹ thuật Process Hollowing, kẻ tấn công sẽ thay thế bộ nhớ của một tiến trình hợp pháp bằng mã độc hại, và thực thi tiến trình được thay thế này thay vì tiến trình ban đầu. Mục đích để lừa các chương trình giám sát và antivirus để tin tưởng rằng tiến trình gốc đang được thực thi.
  • Vì tất cả các chương trình antivirus và sản phẩm bảo mật hiện nay đã được nâng cấp để phát hiện các cuộc tấn công Process Hollowing nên việc sử dụng kỹ thuật này không phải là một ý tưởng tuyệt vời nữa.

Mặt khác, Process Doppelgänging có một cách tiếp cận hoàn toàn khác bằng cách lạm dụng:

  • Windows NTFS Transaction (một tính năng của Windows, cho phép tạo ra, chỉnh sửa, đổi tên và xóa nguyên bản các tập tin và thư mục)
  • Windows process loader cũ (process loader ban đầu được thiết kế cho Windows XP, nhưng được sử dụng trên tất cả các phiên bản Windows mới hơn)

2. Cách hoạt động của Doppelgänging Attack

Theo các nhà bảo mật, Process Doppelgänging là một kỹ thuật tấn công fileless attack và hoạt động theo bốn bước chính như sau:

  1. Transact – quá trình thực thi hợp pháp bên trong NTFS Transaction và sau đó ghi đè lên với một tập tin độc hại.
  2. Load – tạo một phần bộ nhớ từ tập tin đã được sửa đổi (độc hại và không bao giờ lưu vào đĩa).
  3. Rollback – rollback transaction, để loại bỏ tất cả những thay đổi trong các thực thi hợp pháp (khiến nó giống như không tồn tại).
  4. Animate – Sử dụng Windows process loader cũ và phần bộ nhớ được tạo ra trước đó (trong bước 2) để tạo ra một tiến trình (làm cho nó trở nên vô hình đối với hầu hết các công cụ ghi log như EDR).

3. Doppelgänging Attack bypass được hầu hết Antivirus

malware-evasion-technique

Liberman nói rằng họ đã thử nghiệm tấn công đối với các sản phẩm bảo mật như Windows Defender, Kaspersky Labs, ESET NOD32, Symantec, Trend Micro, Avast, McAfee, AVG, Panda và thậm chí cả các công cụ điều tra số.

4. Process Doppelgänging hoạt động trên tất cả các phiên bản Windows

Process Doppelgänging hoạt động trên cả phiên bản mới nhất của Windows 10, trừ Windows Update Redstone và Fall Creators Update, được phát hành đầu năm nay. Nhưng do một lỗi khác trong Windows 10 Redstone và Fall Creators Update, sử dụng Process Doppelgänging gây ra lỗi BSOD (màn hình xanh chết chóc), làm treo máy tính của người dùng.

Trớ trêu thay, các bản vá bởi Microsoft trong các bản cập nhật sau này, cho phép Process Doppelgänging có ảnh hưởng trên cả các phiên bản mới nhất của Windows 10.

5. Khuyến nghị

  • Chờ đợi các công ty antivirus nâng cấp sản phẩm của họ để phát hiện chương trình độc hại này và hãy cập nhật ngay khi có thể.
  • Nếu người dùng đang không dùng bản update mới nhất của Microsoft (November 30, 2017—KB4051963 (OS Build 16299.98)) thì hãy khoan update, nên chờ bản vá của Microsoft cho lỗ hổng này và update sau đó.

Theo: The Hacker News