Найдена уязвимость во всех версиях Windows, которую не закрывает ни один антивирус

отметили
68
человек
в архиве

Портал The Hacker News сообщает об обнаружении уязвимости в загрузчике Windows, которая позволяет запускать исполняемый код так, что он не определяется антивирусными программами, при этом эксплоит не оставляет следов в файловой системе.

источник: habrastorage.org

Технология, использованная в эксплоите, получила название Process Doppelgänging (от «доппельгангер» — «двойник»), и использует технологию NTFS Transactions для сокрытия следов и запуска малвари. Общая схема эксплоита выглядит так:

На первом этапе создается транзакция NTFS на изменение какого-либо легитимного файла Windows, его тело заменяется на вредоносный код. Транзакция не закрывается.

Второй этап — создание копии измененного файла в памяти (memory section). В память попадает вредоносный код, при этом, так как не было фактического обращения к файловой системе, антивирусы не реагируют на обращение к ФС.

Третий этап — откат транзакции NTFS. Файл не менялся, следов на диске нет, но в памяти уже засел зловред.

Четвертый этап — вызов загрузчика Windows с помощью вызова, создающего процесс из секции памяти, созданной из исполняемого файла (ZwCreateProcess), в котором по факту находится вредоносный код. Алгоритмы сканера антивируса реагируют, но читают образ файла с диска, а там никто ничего не менял, и процесс запускается на выполнение.

Разработчики утверждают, что на текущий момент данный эксплоит нельзя заблокировать, но антивирусные решения могут быть обновлены для обнаружения атак через данный метод. На текущий момент уязвимость существует во всех версиях Windows, начиная с Windows XP и заканчивая последней версией Windows 10 Fall Creators Update. В последней был баг, из-за которого применение Process Doppelgänging роняло систему в «синий экран смерти», но Микрософт с тех пор этот баг исправила.

Проверенные антивирусные решения, которые пропускают эксплоит на 07.12.2017 (из источника): Windows Defender, Kaspersky Endpoint Protection 14, AVG Internet Security, ESET NOD 32, Symantec Endpoint Protection 14, Trend Micro, Avast, McAfee VSE 8.8, Panda Antivirus, Qihoo 360

Добавил sant sant 11 Декабря 2017
Комментарии участников:
X86
+6
X86, 12 Декабря 2017 , url

и использует технологию NTFS Transactions для сокрытия следов и запуска малвари.

 Так и думал, что ситсему надо ставить на ФАТ32

Юлька с н2
0
Юлька с н2, 12 Декабря 2017 , url

Конечно! только фат. А то и сам не заметишь, как на выборы в США повлияешь.

blogman
+2
blogman, 12 Декабря 2017 , url

В последней был баг, из-за которого применение Process Doppelgänging роняло систему в «синий экран смерти», но Микрософт с тех пор этот баг исправила.

Какие MS молодцы)

X86
+2
X86, 12 Декабря 2017 , url

вспомнил старую утилитку https://technet.microsoft.com/ru-ru/sysinternals/streams

Скачал, запустил streams64.exe -s -d c:\ на всякий случай.

Ioj
0
Ioj, 12 Декабря 2017 , url

Я так понимаю — это очередной сферический конь? Т.е. сие можно сделать только имея физический доступ к компу или же все происходит удаленно и без ведома пользователя?

норд
+1
норд, 12 Декабря 2017 , url

сам запуск возможен когда вирус у вас в системе. Как ему попасть в систему — другой вопрос.

Плохо, что есть механизм, который пока не видится антивирусами.

rustam.2v
0
rustam.2v, 12 Декабря 2017 , url

Что то не възжаю. Чего-то в описании не так.
1. При открытой транзакции загрузка в память не должна быть возможна, поскольку контрольная сумма и содержимое загрузки будет различаться.
1+1. Антивирусы реагируют на не законченную транзакцию, а на начатую (флаг начала), причем транзакция сначала проводится в буфер-фильтр файловой системы антирируса и лишь потом на диск, иначе нарушится целостность нтфс при сбое во время незаконченной транзакции.

Вывод. Кому это выгодно? Все скопом переходим на 10ку )))

hamburgerru
+1
hamburgerru, 18 Декабря 2017 , url

источник: s00.yaplakal.com



Войдите или станьте участником, чтобы комментировать