Nová metoda injektáže kódu obchází malwarovou detekci

Na akci Black Hat Europe byly bezpečnostními experty Eugenem Koganem a Talem Libermanem zveřejněny detaily nové techniky bezsouborové injektáže kódu.

Nová metoda injektáže kódu obchází malwarovou detekci


Tato technika dostala název Process Doppelgänging a způsobuje, že běžně dostupný antivirový software není schopen detekovat procesy, které byly modifikovány tak, aby obsahovaly škodlivý kód.

Tento proces je podobný technice zvané Process Hollowing, kterou však softwarové společnosti již dokáží detekovat a snižovat tak rizika nakažení touto metodou. K Processu Hollowing dochází, když je paměť legitimního programu modifikována a nahrazena daty injektovanými uživatelem, což způsobí, že původní proces vypadá, že běží normálně, přičemž ale spouští potenciálně škodlivý kód.

Na rozdíl od zastaralé, výše zmíněné techniky, využívá proces Doppelgänging to, jak Windows nahrávají procesy do paměti. Mechanismus nahrávající programy byl původně navržen pro Windows XP a od té doby se změnil jen málo.

Při snaze o zneužití je NTFS transakci předán normální spustitelný soubor, který je pak přepsán souborem škodlivým. NTFS transakce je místo v sandboxu, které vrací jen informaci o úspěchu nebo selhání a tím zamezuje provádění částečných operací. Část paměti v cílovém souboru je modifikována. Po této modifikaci je NTFS transakce úmyslně neúspěšná, aby se původní soubor jevil jako nemodifikovaný. Nakonec je zavaděč procesů ve Windows využit k tomu, aby vyvolal z paměti modifikovanou sekci, která z ní nebyla odstraněna.

Je třeba zmínit, že ve Windows 10 Fall Creators Update to původně vypadalo, že tento systém problém řeší, neboť se v něm dvojici expertů škodlivý kód spustit nepodařilo. Když se o to pokoušeli, objevila se chyba známá jako modrá obrazovka smrti. Což není nic, co bychom si na svých počítačích přáli, ale na druhou stranu pořád lepší než infekce malwarem.

Nicméně pozdější aktualizace evidentně umožňovaly, aby zneužití znovu fungovalo, a to dokonce i přes nejnovější záplaty Windows 10. Microsoft tak bude muset aktualizovat klíčovou funkci, která pomůže zachovat softwarovou kompatibilitu. A vývojáři antivirových řešení by v následujících týdnech měli vydat aktualizace, které dokáží Process Doppelgänging detekovat a zamezit mu.

Zdroj: Techspot.com


Úvodní foto: © JRB - Fotolia.com




Komentáře