О своей находке рассказали сотрудники специализирующейся на безопасности в сфере IT технологий компании enSilo.
Выявленный тип вредоносных атак, названный Process Doppelgänging, обходит защиту почти любых антивирусных решений на компьютерах с ОС Windows 10, 8 и 7. Среди не устоявших перед угрозой извне оказались как встроенный Windows Defender, так и продукты сторонних разработчиков бесплатный антивирус Касперского, Bitdefender, ESET, McAfee, AVG, Avast и других.
Сам Process Doppelgänging действует по схожей с уже успевшим стать известным Process Hollowing методике. Последний создает новый безопасный процесс в системе, дальнейшем сменяя его на вредоносный.
Но, поскольку такой способ уже изучен, Hollowing обнаруживается большинством антивирусов. Doppelgänging хоть и руководствуется подобным принципом действия, все же не прописывается на жесткий диск компьютера, а значит и выявить его тяжелее.
В ходе проведенного при помощи Process Doppelgänging теста сотрудники enSilo успешно запустили на испытываемом устройстве Mimikatz, популярную программу для извлечения учетных данных пользователей.
Хорошо то, что для использования подобного метода атак злоумышленникам требуются специфические знания о принципах создания и работе исполняемых процессов, так что о массовости речь не идет. Плохое известие состоит в том, что поскольку уязвимость использует основополагающие механизмы работы ОС Windows, внесением исправлений защитить систему от нее не получиться.
