0x00简述
2017欧洲黑帽大会(Blackhat EUROPE 2017)上,网络安全公司enSilo两名研究人员介绍了一种名为“Process Doppelgänging”的新型攻击。该攻击技术可以针对windows vista以上所有版本平台发起攻击,甚至可绕过大多数现代主流安全软件的检查,执行恶意程序。
此攻击技术披露后,360安全卫士主动防御体系进行了紧急升级,对Process Doppelgänging的诸如和进程创建等攻击行为进行了多维度拦截,完美破解了攻击的“反侦察”技术,为用户实现了贴身保护。
![图片[1]-Process Doppelgänging攻击技术与安全防护](https://www.77169.net/wp-content/uploads/2018/01/图片1-2-800x400.png)
图1
0x01攻击原理
微软从Windows Vista开始支持NTFS Transaction(TxF),最初的目的是用于文件升级和分布协同(Distributed Transaction Coordinator,DTC)等场景,可以回滚修改操作。Process Doppelgänging攻击利用TxF的可以回滚的特性,(1)先用恶意程序写覆盖白程序,(2)然后将覆盖后的文件加载到内存,(3)加载完成后回滚磁盘上的文件为写覆盖之前的文件,(4)最后利用(2)加载到内存中的Section创建进程,最终达到执行恶意程序并绕过杀软检查的目的。
0x02攻击过程
首先创建一个事务:
![图片[2]-Process Doppelgänging攻击技术与安全防护](https://www.77169.net/wp-content/uploads/2018/01/图片2.png)
图2
将白程序文件添加到这个事务:
![图片[3]-Process Doppelgänging攻击技术与安全防护](https://www.77169.net/wp-content/uploads/2018/01/图片3.png)
图3
用恶意程序覆盖:
![图片[4]-Process Doppelgänging攻击技术与安全防护](https://www.77169.net/wp-content/uploads/2018/01/图片4.png)
图4
加载到内存:
![图片[5]-Process Doppelgänging攻击技术与安全防护](https://www.77169.net/wp-content/uploads/2018/01/图片5.png)
图5
回滚事务:
![图片[6]-Process Doppelgänging攻击技术与安全防护](https://www.77169.net/wp-content/uploads/2018/01/图片6.png)
图6
最后利用内存中的Section创建进程:
![图片[7]-Process Doppelgänging攻击技术与安全防护](https://www.77169.net/wp-content/uploads/2018/01/图片7.png)
图7
0x03攻击效果
该攻击方式可以绕过国外主流防护软件。
![图片[8]-Process Doppelgänging攻击技术与安全防护](https://www.77169.net/wp-content/uploads/2018/01/图片8.png)
图8
0x04 360安全卫士防御升级
360安全卫士针对此攻击方式,进行了防护强化,增加了多维度的保护,对攻击的注入和进程创建行为均进行拦截,保护用户电脑安全。
![图片[9]-Process Doppelgänging攻击技术与安全防护](https://www.77169.net/wp-content/uploads/2018/01/图片9.png)
图 9
![图片[10]-Process Doppelgänging攻击技术与安全防护](https://www.77169.net/wp-content/uploads/2018/01/图片10.png)
图10
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容