Как можно обнаружить такую атаку и защититься от нее?
Прямо сейчас этот вектор атаки не обнаруживается до тех пор, пока различные производители не обновят свои предложения и / или Microsoft не выпустит исправления.
Таким образом, единственный надежный способ защиты от этой атаки - не подключаться к Интернету.
Вы, конечно, можете принять все меры предосторожности, которые вы уже должны предпринять:
Убедитесь, что ваша ОС и все анти-программы полностью исправлены, а определения обновлены.
Не открывайте вложения, которые вы не ожидаете или которые были отправлены людьми, которых вы не знаете или которым не доверяете
Только просматривать на доверенных сайтах
Убедитесь, что у вас есть адекватная стратегия резервного копирования
Попробуйте установить что-то вроде Deep Freeze («С Faronics Deep Freeze вы можете перестать беспокоиться о любых проблемах компьютера, вызванных посещением вредоносных сайтов, случайными изменениями и т. П. Если что-то пойдет не так, просто перезагрузите компьютер, и он будет возвращен в его первоначальная первоначальная конфигурация. ")
Процесс Доппельгингинг
Сообщалось, что:
Процесс Doppelgänging работает даже с самой последней версией Windows 10, кроме Windows 10 Redstone и Fall Creators Update, выпущенной ранее в этом году.
В статье говорится:
Но из-за другой ошибки в Windows 10 Redstone и Fall Creators Update использование Process Doppelgänging вызывает BSOD (синий экран смерти), который приводит к падению компьютеров пользователей.
По иронии судьбы, ошибка сбоя была исправлена Microsoft в более поздних обновлениях, что позволило запускать Process Doppelgänging на последних версиях Windows 10.
Таким образом, в зависимости от того, какие именно патчи вы установили, вы можете использовать BSOD вместо того, чтобы быть уязвимым для эксплойта.
Двойной процесс исходного кода : новая техника уклонения от вредоносного ПО работает на всех версиях Windows
Хорошие новости и плохие новости
Хорошая новость заключается в том, что «существует много технических проблем» при работе с Process Doppelgänging, и злоумышленникам необходимо знать «много недокументированных деталей о создании процесса».
Плохая новость заключается в том, что атака «не может быть исправлена, поскольку она использует основные функции и базовый дизайн механизма загрузки процессов в Windows».
Атака исходного кода «Process Doppelgänging» работает на всех версиях Windows
Дальнейшее чтение
- Потерянный в транзакции: процесс принятия решений - презентация PowerPoint с конференции по безопасности Black Hat Europe 2017