黑客花无涯：“BlackHat”攻击技术与贴身防护

简述一些常用的名词解释：

挖洞的话，就相当于在程序中查找漏洞，举一个不大恰当但容易理解的比喻，就像韩非子说所的那个自相矛盾的故事：楚国有个人自称自己的矛是世界上最锋利的矛，没有什么盾牌它刺不破，同时又说自己的盾是世界上最坚固的盾，没有什么矛能刺破它，虽然两句话在语法上并没有什么不妥，但却有个致命的逻辑漏洞，因为用他的矛刺他的盾，将导致“不可预知”的结果，当然了，在程序中这种“不可预知”的结果往往会导致各种问题，崩溃或执行非预期功能都有可能，这个就是漏洞了。

再来说说后门，这个很好比喻，就像是警匪片中的卧底或者是笑傲江湖中的岳不群，表面上做一套，背地里做另一套。在软件中就是这个软件提供给你了你需要的功能，但在背后它可能偷偷摸摸地干了一些你不想他干的事，例如窃取你电脑上的文件。

2017欧洲黑帽大会（Blackhat EUROPE 2017）上，网络安全公司enSilo两名研究人员介绍了一种名为“Process Doppelgänging”的新型攻击。该攻击技术可以针对windows vista以上所有版本平台发起攻击，甚至可绕过大多数现代主流安全软件的检查，执行恶意程。

此攻击技术披露后，360安全卫士主动防御体系进行了紧急升级，对Process Doppelgänging的诸如和进程创建等攻击行为进行了多维度拦截，完美破解了攻击的“反侦察”技术，为用户实现了贴身保护。

请点击此处输入图片描述

图1

攻击原理

微软从Windows Vista开始支持NTFS Transaction（TxF），最初的目的是用于文件升级和分布协同（Distributed Transaction Coordinator，DTC)等场景，可以回滚修改操作。Process Doppelgänging攻击利用TxF的可以回滚的特性，（1）先用恶意程序写覆盖白程序，（2）然后将覆盖后的文件加载到内存，（3）加载完成后回滚磁盘上的文件为写覆盖之前的文件，（4）最后利用（2）加载到内存中的Section创建进程，最终达到执行恶意程序并绕过杀软检查的目的。

攻击过程

中国黑客协会创始人 花无涯

首先创建一个事务：

请点击此处输入图片描述

图2

将白程序文件添加到这个事务：

请点击此处输入图片描述

图3

用恶意程序覆盖：

请点击此处输入图片描述

图4

加载到内存：

请点击此处输入图片描述

图5

回滚事务：

请点击此处输入图片描述

图6

最后利用内存中的Section创建进程：

请点击此处输入图片描述

图7

攻击效果

该攻击方式可以绕过国外主流防护软件。

请点击此处输入图片描述

图8

360安全卫士防御升级

360安全卫士针对此攻击方式，进行了防护强化，增加了多维度的保护，对攻击的注入和进程创建行为均进行拦截，保护用户电脑安全。

请点击此处输入图片描述

图 9

请点击此处输入图片描述