Uma equipe de pesquisadores de segurança descobriu uma nova técnica de evasão de malware que pode ajudar os autores de malware a derrotar a maioria das soluções antivírus modernas e ferramentas forenses.
Apelidado de Process Doppelgänging, a nova técnica de injeção de código sem arquivo aproveita a função interna do Windows e uma implementação não documentada do carregador de processo do Windows.
Os pesquisadores de segurança Ensilo, Tal Liberman e Eugene Kogan, que descobriram o ataque Process Doppelgänging, apresentaram suas descobertas na conferência Black Hat 2017 Security, realizada em Londres.
Processo Doppelgänging funciona em todas as versões do Windows (sem pudores).
Aparentemente, o ataque Process Doppelgänging funciona em todas as versões modernas do sistema operacional Microsoft Windows, começando do Windows Vista até a versão mais recente do Windows 10
É bom ficar atento às estações de trabalho das empresas (endpoints) pois uma nova praga #ransomware vem se alastrando no #Windows 10 (e outras versões anteriores) utilizando uma técnica que substitui áreas de memória de programas legítimos e conseguindo assim enganar aplicativos #antivírus e #antimalware, que em geral fazem sua pesquisa apenas durante a carga (load) de programas.
A técnica chamada Process #Doppelgänguing é um artefato "fileless" (não se grava em disco para funcionar) que se aproveita de funções internas do Windows, atingindo todas as versões desse sistema operacional.
Uma das formas, mas não a única. Links maliciosos em websites e mesmo Javascript/Java loaders anexados à paginas fazem a carga dele.
Está cada vez mais evidente que somente ferramentas de antivirus não é mais suficiente para proteger os endpoints. Vide a lista dos produtos que foram facilmente "evadidos" (https://thehackernews.com/2017/12/malware-process-doppelganging.html). Um antiransomware é fundamental!
No ano de 2017, 76% dos ransomwares vieram através de e-mails maliciosos - "Barracuda survey 2017"
Tal Liberman, chefe da equipe de pesquisa da enSilo, disse ao The Hacker New que essa técnica de evasão de malware é semelhante a Process Hollowing - um método introduzido anos atrás pelos invasores para derrotar as capacidades de mitigação dos produtos de segurança.
No ataque Process Hollowing, os hackers substituem a memória de um processo legítimo por um código mal-intencionado, de modo que o segundo código é executado em vez do original, induzindo as ferramentas de monitoramento de processos e antivírus a acreditar que o processo original está em execução.
Como todos os antivírus e produtos de segurança modernos foram atualizados para detectar ataques de vazamento de processos, o uso dessa técnica não é mais uma boa ideia.
Por outro lado, Process Doppelgänging é uma abordagem totalmente diferente para alcançar o mesmo, abusando de transações do Windows NTFS e uma implementação desatualizada do carregador de processos do Windows, que foi originalmente projetado para o Windows XP, mas em todas as versões posteriores do Windows.
Tenso, esses cara estão cada dia se aperfeiçoando na arte de fazer o mal.
ResponderExcluirmicrosoft podia arrumar isso.. como pode o Windows 10 ainda usar o mesmo esquema de carregar o programa em memoria, legado WinXP. inadimissivel
ResponderExcluirpor isso uso linux.
Excluirlinux só server pra ficar parado..
Excluir