专栏首页FreeBufProcess Doppelgänging:绕过杀软检测的新技术

Process Doppelgänging:绕过杀软检测的新技术

今天在Black Hat欧洲2017大会上,两名来自enSilo公司的安全研究员介绍了一种新的代码注入技术,他们命名为“Process Doppelgänging”。

这种新的攻击方式对所有windows平台都有效,并且能够攻击主流的安全产品。

Doppelgänging利用两种特性来掩盖加载修改版可执行文件的过程。通过使用NTFS,我们可以在不写入硬盘的情况下修改可执行文件。这样的结果就是我们可以为修改版的可执行文件建立进程,而杀毒软件的安全机制检测不到。

攻击大部分杀毒软件

研究人员成功在卡巴斯基、比特梵德、ESET、赛门铁克、McAfeee、Windows Defender、AVG、Avast、奇虎360和Panda上测试通过。更加高级的取证工具比如Volatility也检测不了。

研究人员利用Process Doppelgänging方法运行Mimikatz,但是没有被检测出来。

无文件攻击

“攻击的目的是让恶意软件在正常软件的进程中执行任意代码。”

“这种方法很像进程中空技术,但是更加高级。我们可以在没有可以进程和内存操作(如SuspendProcess和NtUnmapViewOfSection)的情况下实现。” “为了达到目标我们得利用NTFS transactions,然后覆盖正规的文件。然后从修改后的文件中创建进程。在NTFS transaction的过程中好像不能扫描文件,这就解释了那些杀毒软件为什么检测不到,之后我们再回滚transaction,也就没有痕迹了。”

对于安全产品来说,好像没什么问题,因为恶意进程看起来是合法的,并且会正确地映射到磁盘上的映像文件,就像任何正常进程一样。过程中不会有“未映射的代码”,这往往是安全产品寻找的。

好消息和坏消息

好消息是,在使用技术时“存在很多技术挑战”,攻击者需要知道很多细节。

坏消息是,攻击“由于利用Windows的进程加载机制的基本特征和核心设计,所以不能修复”。

Process Doppelgienging现在加入了去年发现的新攻击方法列表(如Atom Bombing,GhostHook和Propagate),这些攻击方法很难被杀毒软件中检测和修复。

关于ProcessDoppelgänging的研究材料将在接下来的几天内在Black Hat网站上发布。

本文分享自微信公众号 - FreeBuf(freebuf),作者:Sphinx

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-12-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 术业有专攻 | 网络安全领域急需的8大热门技能,你达标没?

    当提及挑选顶尖人才来弥补信息安全领域大量的职位空缺时,SecurityHeadhunter.com的安全招聘人员Wils Bell表示: “网络安全所有领域目前...

    FB客服
  • 探寻APT的化学本质与破解之术

    高级持续性威胁(Advanced Persistent Threat)简称APT,从无到有不过十年时间。而在去年年底,卡巴斯基在预测2016年安全发展趋势时表示...

    FB客服
  • APT防御的他山石—思科内部安全团队解读APT

    近日FireEye上市大热,360公司也要推出APT防御产品。在APT的战火已经烧到天朝之际,且看看思科自家的安全防御团队CSIRT(response to c...

    FB客服
  • Python学习—pyhton中的进程

    进程: 进程就是一个程序在一个数据集上的一次动态执行过程。进程一般由程序、数据、进程控制块(pcb)三部分组成。 (1)我们编写的程序用来描述进程要完成哪些功能...

    py3study
  • MIT校长勇发全校公开信:为华裔成员的处境深感心碎

    今天,麻省理工学院校长 L. Rafael Reif 向在MIT工作和学习的教师、科研人员和学生发表了一封公开信,谈到中美关系给科研教育带来的影响。

    新智元
  • 为什么计算机最小的存储单位是字节?而最小到的传输单位是bit?

    数据存储是以“字节”(Byte)为单位,数据传输是以大多是以“位”(bit,又名“比特”)为单位,一个位就代表一个0或1(即二进制),每8个位(bit,简写为b...

    wuweixiang
  • Java程序员从阿里、百度面试回来,这些面试题你们会吗?

    百度面了两次,分别是百度糯米和金融事业部,百度目前只有这两个部门的招聘岗位和我比较匹配。面试都在西二旗的百度新总部,园区还在施工,离地铁也比较远,需要打车过去。

    java架构师
  • 网络安全自学篇(五)| IDA Pro反汇编工具初识及逆向工程解密实战

    介绍;自幼受贵州大山的熏陶,养成了诚实质朴的性格。经过寒窗苦读,考入BIT,为完成自己的教师梦,放弃IT、航天等工作,成为贵财一名大学教师,并想把自己所学所感真...

    天钧
  • Asp.NetCore轻松学-部署到 IIS 进行托管

    经过一段时间的学习,终于来到了部署服务这个环节,.NetCore 的部署方式非常的灵活多样,但是其万变不离其宗,所有的 Asp.NetCore 程序都基于端口的...

    梁规晓
  • ggplot2_boxplot

    箱式图适用于连续变量的可视化展示,显示变量的四分位数,中位数、异常值等 同时箱式图可以预览两组之间的差异,为后续统计分析做准备

    用户7760819

扫码关注云+社区

领取腾讯云代金券