搜索
查看: 3089|回复: 0

来自BlackHat的新姿势:Process Doppelgänging攻击技术与贴身防护

[复制链接]

69

主题

116

帖子

285

积分

中级会员

牛逼的金牌会员

Rank: 3Rank: 3

积分
285
QQ
发表于 2018-3-14 10:29:48 | 显示全部楼层 |阅读模式

简述

2017欧洲黑帽大会(Blackhat EUROPE 2017)上,网络安全公司enSilo两名研究人员介绍了一种名为“Process Doppelgänging”的新型攻击。该攻击技术可以针对windows vista以上所有版本平台发起攻击,甚至可绕过大多数现代主流安全软件的检查,执行恶意程

此攻击技术披露后,360安全卫士主动防御体系进行了紧急升级,对Process Doppelgänging的诸如和进程创建等攻击行为进行了多维度拦截,完美破解了攻击的“反侦察”技术,为用户实现了贴身保护。

[img]http://ss.csdn.net/p?http://mmbiz.qpic.cn/mmbiz_png/3 ... rom=5&wx_lazy=1[/img]

攻击原理


微软从Windows Vista开始支持NTFS Transaction(TxF),最初的目的是用于文件升级和分布协同(Distributed Transaction Coordinator,DTC)等场景,可以回滚修改操作。Process Doppelgänging攻击利用TxF的可以回滚的特性,(1)先用恶意程序写覆盖白程序,(2)然后将覆盖后的文件加载到内存,(3)加载完成后回滚磁盘上的文件为写覆盖之前的文件,(4)最后利用(2)加载到内存中的Section创建进程,最终达到执行恶意程序并绕过杀软检查的目的。


攻击过程


首先创建一个事务:


[img=422,93]http://ss.csdn.net/p?http://mmbiz.qpic.cn/mmbiz_png/3 ... 5fE6nA/0?wx_fmt=png[/img]

图2


将白程序文件添加到这个事务:


[img=576,89]http://ss.csdn.net/p?http://mmbiz.qpic.cn/mmbiz_png/3 ... cHvlrg/0?wx_fmt=png[/img]

图3


用恶意程序覆盖:


[img=558,121]http://ss.csdn.net/p?http://mmbiz.qpic.cn/mmbiz_png/3 ... bsHVGQ/0?wx_fmt=png[/img]

图4


加载到内存:


[img=576,71]http://ss.csdn.net/p?http://mmbiz.qpic.cn/mmbiz_png/3 ... M85Hdg/0?wx_fmt=png[/img]

图5


回滚事务:


[img=440,97]http://ss.csdn.net/p?http://mmbiz.qpic.cn/mmbiz_png/3 ... 7ccDlQ/0?wx_fmt=png[/img]

图6


最后利用内存中的Section创建进程:


[img=576,68]http://ss.csdn.net/p?http://mmbiz.qpic.cn/mmbiz_png/3 ... sHmiaA/0?wx_fmt=png[/img]

图7


攻击效果


该攻击方式可以绕过国外主流防护软件。


[img=458,157]http://ss.csdn.net/p?http://mmbiz.qpic.cn/mmbiz_png/3 ... CbDPEQ/0?wx_fmt=png[/img]

图8


360安全卫士防御升级


360安全卫士针对此攻击方式,进行了防护强化,增加了多维度的保护,对攻击的注入和进程创建行为均进行拦截,保护用户电脑安全。


[img=592,326]http://ss.csdn.net/p?http://mmbiz.qpic.cn/mmbiz_png/3 ... 25K1bQ/0?wx_fmt=png[/img]

图 9


[img=572,325]http://ss.csdn.net/p?http://mmbiz.qpic.cn/mmbiz_png/3 ... UxaMmw/0?wx_fmt=png[/img]


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表