Процесс Doppelgänging:

Doppelgänging

Процесс Doppelgänging — это метод, аналогичный процессу Hollowing. При котором вредоносное ПО заменяет законный процесс дублирующим, но вредоносным кодом. Например, даже имя образа, путь и командные строки остаются неизменными по сравнению с допустимыми процессами в ОС Windows. В результате Process Doppelgänging выглядит без файловой атакой при запуске …

Процесс Doppelgänging использует транзакции Windows NTFS. Это концепция, основанная на элементарных транзакциях файла TFS (таких как создание, удаление, изменение и т. д.). Транзакционная NTFS (также известная как TxF) интегрирует транзакции в файловую систему NTFS. Что облегчает разработчикам приложений и администраторам обработку любых ошибок и сохранение целостности данных.

Другими словами, с транзакциями NTFS, многие файловые операции могут быть выполнены и основаны на результатах либо принятых, либо отклоненных. Например, когда транзакция принята, она совершается; и когда это отклонено, это откатывается. Процесс Doppelgänging использует эти специфические функции, чтобы скрыть и запустить вредоносную программу.

Однако в транзакциях NTFS есть еще что-то, что нужно обработать, и конкретная последовательность приведена ниже:

1 Transact:

На этом этапе законный исполняемый файл обрабатывается и перезаписывается вредоносным файлом или содержимым. Это под этапы:

Сначала транзакция создается с помощью команды CreateTransaction.
Во-вторых, вызывается команда CreateFileTransacted, которая используется для получения обработанного дескриптора файла. Это может использоваться для всех последующих файловых операций, которые требуют дескриптор.
В-третьих, затем выполняется команда WriteFile, которая перезаписывает содержимое транзакционного файла вредоносным содержимым.

2 Нагрузка:

На этом этапе из модифицированного файла на шаге 1 создается раздел памяти. Это под фаза:

Сначала из транзакционного файла создается раздел с помощью команды NtCreateSection. Это укажет на вредоносный исполняемый файл.

3 Откат:

Эта фаза делает атаку без файла. На этом этапе транзакции намеренно откатываются. Это удаляет все изменения, внесенные в файл. Как описано на первом этапе), и оставляет исходный файл на диске. Результатом этого отката является тот же оригинальный файл. Это субфаза, которая делает это возможным …

Откат транзакции выполняется с помощью RollbackTransaction, которая удаляет изменения из файловой системы.

4 Исполнение:

Эта фаза указывает на то, что процесс Доппельгингинг является уклончивой техникой. Например, исследователи обнаружили старую команду (из Windows XP), которая может выполнять процесс из файла. Который был ранее открыт (с первого этапа).

Вот под этапы для запуска этого:

  • Сначала объекты процесса и потока создаются с помощью команд NtCreateProcessEx и NtCreateThreadEx.
  • Во-вторых, параметры процесса создаются с помощью команды RtlCreateProcessParameters.
  • В-третьих, пространство выделяется с помощью команды VirtualAllocEx и параметров, созданных на предыдущем этапе. Это делается с помощью команды WriteProcessMemory.
  • В-четвертых, отдельный процесс запускается с помощью команды NtResumeThread.

В результате даже после отката содержимого файла (с третьего этапа) процесс все еще может быть создан с использованием вредоносного содержимого.

Doppelgänging: ускользнет от всех производителей AV по следующим причинам:

  • Диск никогда не трогается
  • Зараженный файл возвращается к исходному содержимому.

Исследования показали, что когда образец, в котором «mimikatz» запускался в системе, был немедленно обнаружен AV. Однако, когда «mimikatz» был выполнен с использованием процесса Doppelgänging. AV, который присутствовал в системе, не смог его обнаружить …

Важно отметить, что процесс Doppelgänging также оказался полностью уклончивым для следующих поставщиков AV. И соответствующих ОС, на которых они были протестированы …

Для того, чтобы заставить Process Doppelgänging работать, требуется много знаний о недокументированных функциях команды CreateProcess.

Тем не менее, исследователи утверждают, что не может быть никакого патча для этого по следующим причинам:

  • Он использует фундаментальный механизм загрузки ОС Windows.
  • Поставщики аудио-видео могут разработать только некоторые стратегии обнаружения, чтобы противостоять процессу принятия двойных решений.

Есть последствия, которые будут ощущаться как в краткосрочной, так и в долгосрочной перспективе. Тем не менее, независимо от сроков, суть в том, что процесс подмены в настоящее время представляется очень скрытым видом вредоносного ПО.

Doppelgänging: проникновения в любой периметр защиты

Doppelgänging

Например, он не может быть обнаружен или даже отслежен многими из пакетов антивирусных программ и криминалистики, которые доступны сегодня. Из-за этого кибер-злоумышленник, таким образом, может использовать другие виды вредоносных программ. Которые блокируются современными антивирусными пакетами, и повторно использовать их для проникновения в любой периметр защиты.

Во-вторых, если процесс Doppelgänging станет распространенным вектором атаки, он будет иметь пагубные последствия для бизнеса и корпораций во всем мире. Основной причиной этого является то, что он нацелен на все последние ОС на базе Windows (как описано ранее). Учитывая тот факт, что Windows широко используется. Можно смело предположить, что гигантское большинство инфраструктуры мира может быть значительно затруднено. Если этот процесс со временем станет более сложным.

В-третьих, Process Doppelgänging может также повлиять на те версии ОС Windows, которые были созданы для домашнего, образовательного и государственного использования. В результате, если это повлияет на отдельных лиц, последующие атаки на кражу личных данных могут иметь гораздо более страшные последствия, чем современные атаки. Кроме того, национальная безопасность также может быть под угрозой.

Наконец, как уже говорилось в статье, единственной хорошей новостью является то, что такого рода атаки сложно запустить, потому что до сих пор требуется глубокое знание рассмотренных командных строк.