נחשפה "מתקפת דופלגנג" העוקפת לחלוטין פתרונות אנטי וירוס
מאת:
מערכת Telecom News, 13.12.17, 18:26
נחשף כיצד עברייני רשת מנצלים מאפיינים פנימיים של Microsoft Windows באופן המאפשר לתוכנות כופר ואיומים אחרים לחמוק מהרדאר של רוב תוכנות ההגנה. מתקפות מבוססות Process Doppelgänging יכולות לפגוע בגרסאות המעודכנות ביותר של מערכת חלונות, אפילו כאשר מופעלים אנטי וירוס ומוצרי NGAV מעודכנים. הן יכולות לאחר מכן לבצע מתקפת כופר על קבצים, לאסוף הקשות מקלדת או לגנוב מידע רב ערך.
אינסיילו
(enSilo), שמציעה פלטפורמה מקיפה להגנה על תחנות קצה, שעוצרת בזמן אמת תקיפות זדוניות טרם ובמהלך פעילותן, פרסמה מחקר אבטחת סייבר במסגרת
BlackHat Europe.
המחקר חושף כיצד עברייני רשת מנצלים מאפיינים פנימיים של
Microsoft Windows באופן המאפשר לתוכנות כופר ואיומים אחרים לחמוק מהרדאר של רוב תוכנות ההגנה, האנטי וירוסים המובילים בשוק, כמו גם מוצרי אבטחת
NGAV (אנטי וירוס הדור הבא) המגינים על מחשבי קצה, שרתים ומכשירים רגישים אחרים בארגונים.
במחקר
"
Lost in Transaction: Process Doppelgenging" הציגו חוקרי אינסיילו,
יוג'ין קוגן, טל ליברמן ו
עמרי משגב, כיצד ניתן להסתיר פעילות זדונית עמוק בתוך מערכת ההפעלה באמצעות מניפולציה בדרך בה מערכת חלונות מטפלת בפעולות של קבצים.
באמצעות הסוואתן של פעולות זדוניות כתהליכים רגילים ולגיטימיים,
קוגן,
ליברמן ו
משגב מצאו דרך אפקטיבית בה אפילו תוקפים בעלי רמת תחכום נמוכה יחסית יכולים להעניק חיים חדשים לאיומי קוד זדוני, שכבר מוכרים היטב לספקי אבטחה.
ברגע שהוסתרו באמצעות "דופלגנגר" (
Process Doppelgänging), איומים אלה יכולים לפגוע גם בגרסאות המעודכנות ביותר של מערכת חלונות, אפילו כאשר מופעלים אנטי וירוס ומוצרי
NGAV מעודכנים. איומים אלה יכולים לאחר מכן לבצע מתקפת כופר על קבצים, לאסוף הקשות מקלדת או לגנוב מידע רב ערך.
בנוסף לעיוורון של מנגנוני ההגנה המוטמעים במערכת ההפעלה חלונות של מיקרוסופט ושל מוצרי אנטי וירוס ו-
NGAV בפני האיומים,
Process Doppelgänging מעניק לתוקפים יתרון נוסף בכך, שהוא לא מותיר עדויות – בכך, סוג זה של חדירה מקשה מאוד על זיהוי המתקפה בדיעבד באמצעות טכניקות הפורנזיקה העדכניות.
.
ליברמן: "שיטת ה'דופלגנג', שחשפנו, ממנפת מספר מנגנונים מורכבים במערכת ההפעלה של חלונות, ומתבססת על ידע עמוק של הדרך בה פועלים מנועי סריקה של קבצים באנטי וירוסים. שילוב בין כל אלה יוצר הסוואה של הקוד זדוני כקוד לגיטימי, ומאפשר לעקוף את כל מוצרי האבטחה שנבדקו".
קוגן: "זו דוגמה נוספת לדרך בה מספר מניפולציות קטנות בקוד, שמתבססות על הבנה עמוקה של מערכת ההפעלה, הן כל מה שנדרש כדי לעקוף שכבות זיהוי מרובות ומנגנוני הגנה מסורתיים. המחקר שלנו מראה, שאפילו ההגנות העדכניות ביותר הופכות ללא רלוונטיות אל מול המאמץ היצירתי של תוקף להטמין מטען זדוני דרך הערוצים הפנימיים של מערכת חלונות".
באינסיילו אומרים, שניתן כעת להתגונן מפני התקפות מבוססות
Process Doppelgänging באמצעות פלטפורמות יעודיות של הגנה על נקודות קצה, שעוצרות התקפות המתחזות לתהליכים לגיטימיים של חלונות.
המחקר זמין להורדה -
כאן.
ניתן גם
להירשם לוובינר
חינמי ופתוח בנושא
Process Doppelgänging עם טל ליברמן, המספק סקירה מלאה של
האיומים וההגנות.