0x00簡述
2017歐洲黑帽大會(Blackhat EUROPE 2017)上,網絡安全公司enSilo兩名研究人員介紹了一種名為“Process Doppelgänging”的新型攻擊��。該攻擊技術可以針對windows vista以上所有版本平臺發起攻擊���,甚至可繞過大多數現代主流安全軟件的檢查���,執行惡意程序��。
此攻擊技術披露后,360安全衛士主動防御體系進行了緊急升級����,對Process Doppelgänging的諸如和進程創建等攻擊行為進行了多維度攔截����,完美破解了攻擊的“反偵察”技術�,為用戶實現了貼身保護。
0x01攻擊原理
微軟從Windows Vista開始支持NTFS Transaction(TxF),最初的目的是用于文件升級和分布協同(Distributed Transaction Coordinator��,DTC)等場景���,可以回滾修改操作。Process Doppelgänging攻擊利用TxF的可以回滾的特性,(1)先用惡意程序寫覆蓋白程序�����,(2)然后將覆蓋后的文件加載到內存����,(3)加載完成后回滾磁盤上的文件為寫覆蓋之前的文件,(4)最后利用(2)加載到內存中的Section創建進程,最終達到執行惡意程序并繞過殺軟檢查的目的����。
0x02攻擊過程
首先創建一個事務:
將白程序文件添加到這個事務:
用惡意程序覆蓋:
加載到內存:
回滾事務:
最后利用內存中的Section創建進程:
0x03攻擊效果
該攻擊方式可以繞過國外主流防護軟件���。
0x04 360安全衛士防御升級
360安全衛士針對此攻擊方式���,進行了防護強化����,增加了多維度的保護��,對攻擊的注入和進程創建行為均進行攔截,保護用戶電腦安全�。
京公網安備 11010502041587號