Новая атака работает на всех версиях Windows и обходит антивирусы

Новая атака работает на всех версиях Windows и обходит антивирусы

Новая атака работает на всех версиях Windows и обходит антивирусы

Сегодня на конференции по безопасности Black Hat Europe 2017, проходящей в Лондоне, два исследователя в области кибербезопасности компании enSilo описали новую технологию инъекции кода под названием «Process Doppelgänging». Эта вредоносная схема работает на всех версиях Windows, обходя большинство современных продуктов безопасности.

Process Doppelgänging напоминает другую технологию, получившую имя Process Hollowing, но с отличительным фактом использования механизма Windows NTFS Transactions.

Process Doppelgänging способна замаскировать загрузку модифицированного исполняемого файла. Благодаря использованию транзакций NTFS можно внести изменения в исполняемый файл. Затем можно будет использовать недокументированные детали реализации механизма загрузки процесса для загрузки нашего модифицированного исполняемого файла.

Результатом этой процедуры является создание процесса модифицированного исполняемого файла, при этом антивирусные программы даже не догадываются о том, что происходит что-то зловредное.

Исследователи объясняют, что вредоносный код, используемый Process Doppelgänging, не сохраняется на диске (бестелесный вредонос, fileless attack), что делает его невидимым для всех основных антивирусных продуктов.

Исследователи успешно протестировали свою атаку на продуктах следующих вендоров: Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda.

В своих экспериментах исследователи использовали Process Doppelgänging для запуска Mimikatz, известной утилиты, используемой для кражи паролей.

«Обнаруженный нами способ позволяет запускать произвольный код, включая вредоносный, в контексте легитимного процесса на целевой машине. Для достижения этой цели мы используем транзакции NTFS. Мы перезаписываем законный файл в контексте транзакции. Для антивирусных продуктов все выглядит вполне нормально, так как вредоносный процесс будет выглядеть в точности как легитимный», — говорят эксперты enSilo Тал Либерман (Tal Liberman) и Юджин Коган (Eugene Kogan).

Хорошей новостью является тот факт, что реализация Process Doppelgänging имеет множество технических проблем, поэтому ее смогут осуществить только подкованные злоумышленники. Плохая же новость в том, что на данный момент эту брешь нельзя исправить.

 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

До 99% показов рекламы на Smart TV формируют боты

Специалисты компании Servicepipe выяснили, что в некоторых рекламных кампаниях на Smart TV почти весь трафик может быть фальшивым — до 99% просмотров создают не люди, а боты.

Исследование проводилось в лаборатории анализа трафика Servicepipe. Эксперты изучали, как именно формируется аудитория рекламы на «умных» телевизорах.

По словам руководителя аналитического отдела Антона Чемякина, задача оказалась непростой: у Smart TV свои операционные системы и агенты — аналоги браузеров, но с ограниченными возможностями.

Кроме того, существует множество разных моделей устройств, что затрудняет анализ их сетевого поведения.

Для работы с таким трафиком специалисты адаптировали внутренние инструменты анализа сетевых данных, чтобы определить аномалии и оценить долю автоматизированных просмотров. В результате удалось выявить креативы, на которые приходилось непропорционально много «ботовых» показов.

Как оказалось, в некоторых случаях все запросы поступали с ботнетов, имитирующих активность реальных пользователей. Мошенники запускали до шести параллельных просмотров одной и той же рекламы, а общий объём фальшивых показов доходил до полумиллиона в день.

При этом запросы выполнялись из более чем 7,5 тысяч уникальных подсетей. Чемякин отметил, что это закономерное развитие ситуации:

«Мошенники идут туда, где есть деньги. С ростом рекламных бюджетов в сегменте Smart TV растёт и интерес к обману. По данным за 2024 год, объём фродового трафика в этой сфере по миру почти удвоился».

Иными словами, вместе с популярностью Smart TV растут и масштабы мошенничества — а значит, рекламодателям стоит внимательнее смотреть, кто на самом деле «смотрит» их рекламу.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru