Process Doppelgänging: เทคนิคหลบหลีกใหม่ บายพาสระบบรักษาความมั่นคงปลอดภัยได้ทุก Windows

ภายในงานประชุม Black Hat Europe 2017 ที่กำลังจัดขึ้นที่ลอนดอน ณ ขณะนี้ 2 นักวิจัยด้านความมั่นคงปลอดภัยจาก enSilo บริษัททางด้านความมั่นคงปลอดภัยไซเบอร์ชื่อดัง ได้ออกมาเปิดเผยถึงเทคนิคสำหรับใช้หลบหลีกระบบรักษาความมั่นคงปลอดภัยแบบใหม่ เรียกว่า Process Doppelgänging ซึ่งสามารถใช้บน Windows ได้ทุกเวอร์ชันไม่เว้นแม้แต่ Windows 10

Credit: Ditty about summer/ShutterStock

Process Doppelgänging เป็นเทคนิคที่ให้ผลลัพธ์เหมือนกับการทำ Process Hollowing แต่ต่างวิธีกัน คือใช้ประโยชน์จากกลไกของ NTFS Transactions บน Windows แทน โดยทีมนักวิจัยให้คำอธิบายไว้ดังนี้

Doppelgänging works by utilizing two key distinct features together to mask the loading of a modified executable. By using NTFS transactions, we make changes to an executable file that will never actually be committed to disk. We will then use undocumented implementation details of the process loading mechanism to load our modified executable, but not before rolling back the changes we made to the executable. The result of this procedure is creating a process from the modified executable, while deployed security mechanisms remain in the dark.

ในการโจมตีแบบ Process Hollowing แฮ็กเกอร์จะแทนที่โปรเซสปกติในหน่วยความจำด้วยมัลแวร์ ทำให้โค้ดมัลแวร์ถูกรันแทนโค้ดต้นฉบับ ส่งผลให้เครื่องมือสำหรับเฝ้าระวังโปรเซสแบบต่างๆ และโปรแกรม Antivirus ถูกหลอกว่าโค้ดต้นฉบับกำลังถูกรันอยู่ อย่างไรก็ตาม Process Doppelgänging กลับใช้วิธีที่ต่างกันออกไป โดยใช้ NTFS Transactions และ Windows Process Loader ที่ถูกออกแบบมาสำหรับ Windows XP แต่ยังคงอยู่จนถึง Windows เวอร์ชันล่าสุดซึ่งไม่ถูกใช้งานแล้วแทน

ทีมนักวิจัยระบุว่ามัลแวร์ที่ใช้เทคนิค Process Doppelgänging จะไม่ถูกเซฟข้อมูลลงดิสก์ ส่งผลให้เป็นการโจมตีแบบ Fileless Attack ซึ่งทำให้ผลิตภัณฑ์ Antivirus ส่วนใหญ่ไม่สามารถตรวจจับได้ ซึ่งพวกเขาประสบความสำเร็จในการใช้ Process Doppelgänging เพื่อรัน Mimikatz (เครื่องมือยอดนิยมสำหรับใช้ขโมยรหัสผ่าน) โดยสามารถบายพาสผลิตภัณฑ์จาก Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast และ Panda ได้ นอกจากนี้ เครื่องมือสำหรับทำ Forensics ระดับสูงอย่าง Volatility ก็ไม่สามารถตรวจจับการโจมตีได้ด้วยเช่นกัน

อย่างไรก็ตาม ทีมนักวิจัยระบุว่ามีทั้งข่าวดีและข่าวร้ายในการโจมตีแบบ Process Doppelgänging ข่าวดีคือ การโจมตีดังกล่าวต้องใช้เทคนิคระดับสูงเพื่อให้การโจมตีประสบความสำเร็จ และจำเป็นต้องรู้จักกระบวนการสร้างโปรเซสในรายละเอียดเชิงลึกที่ไม่อยู่ในเอกสาร ส่วนข่าวร้ายคือ การโจมตีนี้ไม่สามารถแก้ไขได้ด้วยการอัปเดตแพตช์ เนื่องจากเป็นช่องโหว่บนฟีเจอร์พื้นฐานและคอร์หลักของการออกแบบกระบวนการโหลดโปรเซสบน Windows

ผู้ที่สนใจสามารถติดตามอ่านรายละเอียดเชิงเทคนิคได้บนเว็บไซต์ของ Black Hat ซึ่งเอกสารประกอบการบรรยายจะถูกเผยแพร่เร็วๆ นี้

ที่มา: https://www.bleepingcomputer.com/news/security/-process-doppelg-nging-attack-works-on-all-windows-versions/

from:https://www.techtalkthai.com/process-doppelganging-new-evasion-technique-working-on-all-windows-versions/

Advertisements