Как защитить компьютер от атаки «Process Doppelgänging» и как обнаружить такую ​​атаку?

529
and his dog

Сообщается о новой атаке внедрения кода, которая называется «Процесс двойного доступа». Все версии Windows считаются уязвимыми. Было обнаружено, что атака невидима для всех основных продуктов безопасности и, как говорят, не поддается исправлению.

Как можно обнаружить такую ​​атаку и защититься от нее?

1
Соблюдайте осторожность, здравый смысл с вашим компьютером и привычками! Надеюсь, что исследователи работают с поставщиками, чтобы раскрыть информацию, а не делать ее общедоступной для устранения уязвимости. Интересно, это такой процесс, как `svchost.exe`, и вы можете передавать его параметры и т. Д. Для внедрения вредоносного кода. Не зная специфики уязвимости, сложно сказать, как оставаться в безопасности, а не о базовых 101 методах безопасности. Если есть бэкдор, и поставщик знает об этом с его закрытым исходным кодом, то вы никогда не побьете эти бэкдоры независимо от того, действительно ли они найдены. Pimp Juice IT 6 лет назад 0
если основные AV не могут найти его, то у вас нет особой надежды сделать это самостоятельно. вам придется подождать, пока они исправят свои продукты, или Windows не исправит основную уязвимость в NTFS или в Loader, или в обоих. Frank Thomas 6 лет назад 2

1 ответ на вопрос

3
DavidPostill

Как можно обнаружить такую ​​атаку и защититься от нее?

Прямо сейчас этот вектор атаки не обнаруживается до тех пор, пока различные производители не обновят свои предложения и / или Microsoft не выпустит исправления.

Таким образом, единственный надежный способ защиты от этой атаки - не подключаться к Интернету.

Вы, конечно, можете принять все меры предосторожности, которые вы уже должны предпринять:

  • Убедитесь, что ваша ОС и все анти-программы полностью исправлены, а определения обновлены.

  • Не открывайте вложения, которые вы не ожидаете или которые были отправлены людьми, которых вы не знаете или которым не доверяете

  • Только просматривать на доверенных сайтах

  • Убедитесь, что у вас есть адекватная стратегия резервного копирования

  • Попробуйте установить что-то вроде Deep Freeze («С Faronics Deep Freeze вы можете перестать беспокоиться о любых проблемах компьютера, вызванных посещением вредоносных сайтов, случайными изменениями и т. П. Если что-то пойдет не так, просто перезагрузите компьютер, и он будет возвращен в его первоначальная первоначальная конфигурация. ")


Процесс Доппельгингинг

Сообщалось, что:

Процесс Doppelgänging работает даже с самой последней версией Windows 10, кроме Windows 10 Redstone и Fall Creators Update, выпущенной ранее в этом году.

В статье говорится:

Но из-за другой ошибки в Windows 10 Redstone и Fall Creators Update использование Process Doppelgänging вызывает BSOD (синий экран смерти), который приводит к падению компьютеров пользователей.

По иронии судьбы, ошибка сбоя была исправлена ​​Microsoft в более поздних обновлениях, что позволило запускать Process Doppelgänging на последних версиях Windows 10.

Таким образом, в зависимости от того, какие именно патчи вы установили, вы можете использовать BSOD вместо того, чтобы быть уязвимым для эксплойта.

Двойной процесс исходного кода : новая техника уклонения от вредоносного ПО работает на всех версиях Windows

Хорошие новости и плохие новости

Хорошая новость заключается в том, что «существует много технических проблем» при работе с Process Doppelgänging, и злоумышленникам необходимо знать «много недокументированных деталей о создании процесса».

Плохая новость заключается в том, что атака «не может быть исправлена, поскольку она использует основные функции и базовый дизайн механизма загрузки процессов в Windows».

Атака исходного кода «Process Doppelgänging» работает на всех версиях Windows


Дальнейшее чтение

К сожалению, эти «хорошие новости» могут быть не очень хорошими, если АНБ или ЦРУ уже разработали некоторые установочные комплекты вредоносных программ, использующие эту уязвимость, которые могли быть украдены некоторыми злоумышленниками, как это было в случае с эксплойтом EternalBlue. , В таком случае даже школьник может установить вредоносное ПО на удаленный компьютер, ему не нужно будет знать какие-либо технические тонкости. and his dog 6 лет назад 0