To top

Process Doppelgänging támadások: a Panda megoldása védelmet nyújt

dec 21

Process Doppelgänging támadások: a Panda megoldása védelmet nyújt

A Panda Adaptive Defense 360 lock módban tökéletes védelmet nyújt a Porcess Doppelgänging támadások ellen, mert magát a hordozót állítja meg, mielőtt még a kártékony kód egyáltalán az eszközre kerülne. A kártevőnek így semmilyen műveletet nincs esélye végrehajtani.

Új technológiával „fecskendezik be” fájljainkba a rosszindulatú kódokat a kiberbűnözők – jelentették be az Ensilo biztonsági kutatói a 2017-es Black Hat konferencián. A módszer a Process Hollowing támadásra alapoz, amelynek lényege, hogy a hekker egy a memóriában futó biztonságos folyamat képét írja felül a kártékony kóddal. Így az eredeti, biztonságosnak hitt folyamat helyett a veszélyes kód futhat a rendszeren anélkül, hogy a hagyományos folyamatfigyelő eszközök és vírusirtók észlelnék a megtévesztést.

A Process Doppelgänging elnevezésű fenyegetés egy új fájlnélküli kódbefecskendezési módszer. Egy beépített operációsrendszer-funkció sebezhetőségét használja ki: a Windows folyamatbetöltő eredetileg az XP-hez tervezett, azóta elavult és nem dokumentált, de a legújabb verziókban még mindig megtalálható struktúráját. A probléma a rendszerek széles körét érinti, hiszen a Windows Vistától kezdve egészen a legújabb Windows 10 rendszerekben megtalálható. A támadás módszere, hogy egy kártevőt nem tartalmazó dropper kódot juttat a számítógépre, amely letölti a kártékony kódot, majd ez elindít egy olyan folyamatot, ami egy megbízható állományt a kártékony kóddal felülír. Ezután a már fertőzött kódot tölti be a memóriába, majd a fájlon visszavonja a módosításokat, eltüntetve ezzel saját fertőzésének nyomati. A merevlemezen így a kártevő nem lesz megtalálható, csak az eredeti biztonságos állomány marad meg, míg a memóriában már a kártékony kód fut, amely forrásként az azóta ismét biztonságos fájlra mutat. A memóriában futó kártevő ezután más folyamatokba is beilleszti a kártékony kódot, így terjed el a rendszeren és a hálózaton.

Habár a Process Doppelgänging klasszikus értelemben nem vírus, sőt nem is kártevő, a korszerű kibervédelmi eszköz képes megvédeni tőle a rendszert.

A Panda felhasználói biztonságban vannak, hiszen az Adaptive Defense lock módja lehetővé teszi magának a dropper kódnak a megállítását, így megelőzi a befecskendező bejutását az eszközre.

A támadás tehát már azelőtt meghiúsul, hogy a kártékony kód egyáltalán letöltődne, így annak sem a védelmi eszközt megtéveszteni, sem kárt okozni nincs lehetősége. Az Adaptive Defense technológiája tehát magát a hordozót állítja meg, ahogy minden más ismeretlen, így megbízhatatlan folyamatot.

Adaptive Defense

Blog
No Comments

Sorry, the comment form is closed at this time.