Nowa technika ataku na Windows, podatności nie da się załatać

Strona główna Aktualności
image

O autorze

Tegoroczna konferencja Black Hat Europe przyniosła sporo ciekawych odkryć i wynalazków z zakresu bezpieczeństwa IT. Najciekawszym naszym zdaniem jest nowa technika ataku Windowsa o nazwie „Process Doppelgänging”. Wykorzystując mechanizm transakcyjnego dostępu NTFS udało się obejść zarówno zabezpieczenia wszystkich wersji Windowsa, jak i najpopularniejsze programy antywirusowe. Przestały one po prostu zauważać malware dostarczone w ten sposób.

Po niemiecku Doppelgänger to po prostu sobowtór, mityczna złośliwa istota, będąca bliźniakiem żyjącej osoby i mogąca się pojawiać w wielu miejscach naraz. Doppelgänging procesów to nowa technika wstrzykiwania kodu, która nawiązuje do tego stwora. Jej autorzy, badacze z firmy enSilo, odkryli, że mogą wykorzystać mechanizm transakcji NTFS, aby zmienić zawartość plików wykonywalnych, nie zapisując zarazem tych zmian na dysku.

Następnie wykorzystali nieudokumentowane właściwości ładowania procesów w Windowsie, aby wczytać tak zmodyfikowany plik wykonywalny, zarazem wycofując wprowadzone do niego zmiany. W efekcie mamy do dyspozycji proces ze zmodyfikowanego pliku… a mechanizmy bezpieczeństwa niczego nie podejrzewają.

Jak wyjaśniają badacze, najwyraźniej oprogramowanie antywirusowe nie jest w stanie przeskanować pliku, który jest w kontekście nieukończonej transakcji. Po jej wycofaniu plik może zostać sprawdzony, ale nic w nim niewłaściwego nie ma. Zarazem uzłośliwiony proces, który powstał z takiego pliku, też będzie wydawał się być w porządku, ponieważ jest poprawnie odwzorowany do istniejącego na dysku pliku, nie ma tu żadnego kodu nie wiadomo skąd, za którym rozglądają się silniki antywirusów.

Efekty są spektakularne. W ten sposób udało się ominąc na Windowsie 7, 8.1 i 10 zabezpieczenia antywirusów takich jak Avast, AVG, Bitdefender, ESET, Kaspersky, McAfee, Panda, Qihoo 360, Symantec i Windows Defender. Co więcej, ataku nie wykryło nawet Volatility, zaawansowane narzędzie informatyki śledczej. Bez przeszkód na zabezpieczonych komputerach badacze uruchomili więc szkodnika Mimikatz, służącego m.in. do wykradania haseł.

Na szczęście dla zwykłych użytkowników, doppelgänging procesów jest trudny i wymaga znajomości wspomnianych nieudokumentowanych właściwości mechanizmu tworzenia procesów w Windowsie. Oczywiście póki co nieudokumentowanych – z czasem ta wiedza stanie się publicznie dostępna. Już w najbliższych dniach na stronach Black Hata pojawić się ma artykuł poświęcony tej pracy, z którego dociekliwi ludzie w czarnych kapeluszach będą mogli pewnie sporo wywnioskować.

Na nieszczęście dla zwykłych użytkowników, Microsoft nie obroni ich przed tą techniką ataku. Nadużywa ona bowiem fundamentalnych właściwości i architektury mechanizmu ładowania procesów w Windowsie – twierdzą odkrywcy. Z ich prezentacji wynika, że wprowadzony 11 lat temu w Windows Vista mechanizm transakcji, mimo że przestarzały w momencie wprowadzenia, jest używany do dzisiaj, głównie do aktualizacji i instalowania oprogramowania. Z kolei mechanizm tworzenia procesów pozornie uległ ogromnym zmianom od czasów Windowsa XP, ale głębsza analiza pokazuje, że po prostu większość kodu przeniesiono z kernel32 do ntoskrnl, cały proces pozostaje taki sam.

Podobnie zresztą było z inną znaną techniką wstrzykiwania kodu, Process Hollowing, wykorzystywaną np. przez słynnego szkodnika Duqu. Tworzy się w niej proces w zawieszonym stanie, zastępując pamięć procesu kodem innego progamu. Windows i narzędzia antywirusowe wierzą, że mają do czynienia z oryginalnym procesem, tymczasem faktycznie działa coś zupełnie innego.

© dobreprogramy