Следующая новость
Предыдущая новость

Технику атак Process Doppelgänging используют куда больше вредоносов, чем считали специалисты

26.07.2019 19:13
Технику атак Process Doppelgänging используют куда больше вредоносов, чем считали специалисты

Рекомендуем почитать:

Xakep #243. Лови сигнал

  • Содержание выпуска
  • Подписка на «Хакер»

Еще в 2017 году специалисты компании enSilo выступили на конференции Black Hat Europe с докладом, в котором рассказали о новой технике атак, получившей название Process Doppelgänging. Такие атаки работают против всех версий Windows и позволяют обмануть большинство современных антивирусов, выполнив вредоносный код прямо у них «под носом».

Схема работы Process Doppelgänging похожа на другую, давно известную технику атак, которая называется Process Hollowing. Данная методика внедрения кода предполагает создание нового экземпляра легитимного процесса и последующую подмену легитимного кода вредоносным. Так как о существовании Process Hollowing известно давно, большинство защитных решений успешно обнаруживают и пресекают подобные манипуляции.

Но специалисты enSilo решили развить эту идею дальше, и создали атаку, которая позволяет более эффективно скрывать малварь от антивирусов в контексте легитимных процессов. Process Doppelgänging предполагает использование транзакций NTFS (TxF), что позволяет модифицировать легитимный файл в контексте транзакции, а затем выполнять вредоносный код, который в итоге вообще не попадает на диск (атака получается басфайловой).

Спустя всего несколько месяцев после публикации данного исследования, обнаружилось, что вымогатель SynAck взял технику Process Doppelgänging на вооружение, а вслед за ним эту технику атак использовал банкер Osiris (в сочетании с Process Hollowing).

Но, как выясняется теперь, SynAck и Osiris были отнюдь не единственными вредоносами, адаптировавшими Process Doppelgänging под свои нужды. Эксперты enSilo сообщают, что в гибридную реализацию придуманной ими техники атак используют загрузчики более чем 20 семейств малвари, включая FormBook, LokiBot, SmokeLoader, AZORult, NetWire, njRat, Pony Stealer и GandCrab.

Изучив сотни образцов вредоносного ПО, исследователи обнаружили, по меньшей мере, семь разных версий загрузчика TxHollower, который используют авторы самой разной малвари. «Злоумышленники, как известно, нередко повторно используют разные ресурсы и инструменты в своих цепочках атак, и чаще всего, это дропперы, упаковщики и загрузчики», — объясняют исследователи.

Аналитики полагают, что TxHollower доступен преступникам в составе некоего фреймворка или набора эксплоитов, что в итоге и привело к росту популярности Process Doppelgänging. Самый ранний образец загрузчика с функцией TxHollower датирован мартом 2018 года и использовался для распространения Netwire RAT. Затем этот загрузчик был обнаружен в комплекте с несколькими версиями вымогателя GandCrab, начиная с v5 и вплоть до v5.2.

Технику атак Process Doppelgänging используют куда больше вредоносов, чем считали специалисты
Хронология распределения различных версий TxHollower

«Хотя мы не наблюдали фактических заражений, нам удалось обнаружить несколько образцов, которые, как мы подозреваем, были связаны с цепочками атак, использовавшими загрузчики и дропперы с TxHollower. Среди обнаруженных типов файлов были исполняемые PE, JavaScript и различные документы», — гласит новый отчет enSilo.

Источник

Последние новости