Process Doppelgänging攻击技术与贴身防护是怎样的

发布时间:2022-01-10 18:40:39 作者:柒染
来源:亿速云 阅读:129

Process Doppelgänging攻击技术与贴身防护是怎样的,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。

2017欧洲黑帽大会(Blackhat EUROPE 2017)上,网络安全公司enSilo两名研究人员介绍了一种名为“Process Doppelgänging”的新型攻击。该攻击技术可以针对windows vista以上所有版本平台发起攻击,甚至可绕过大多数现代主流安全软件的检查,执行恶意程序。

此攻击技术披露后,360安全卫士主动防御体系进行了紧急升级,对Process Doppelgänging的诸如和进程创建等攻击行为进行了多维度拦截,完美破解了攻击的“反侦察”技术,为用户实现了贴身保护。

0x01攻击原理

微软从Windows Vista开始支持NTFSTransaction(TxF),最初的目的是用于文件升级和分布协同(DistributedTransaction Coordinator,DTC)等场景,可以回滚修改操作。Process Doppelgänging攻击利用TxF的可以回滚的特性,(1)先用恶意程序写覆盖白程序,(2)然后将覆盖后的文件加载到内存,(3)加载完成后回滚磁盘上的文件为写覆盖之前的文件,(4)最后利用(2)加载到内存中的Section创建进程,最终达到执行恶意程序并绕过杀软检查的目的。

0x02攻击过程

首先创建一个事务:

Process Doppelgänging攻击技术与贴身防护是怎样的
图2

将白程序文件添加到这个事务:

Process Doppelgänging攻击技术与贴身防护是怎样的
图3

用恶意程序覆盖:

Process Doppelgänging攻击技术与贴身防护是怎样的
图4

加载到内存:

Process Doppelgänging攻击技术与贴身防护是怎样的
图5

回滚事务:

Process Doppelgänging攻击技术与贴身防护是怎样的
图6

最后利用内存中的Section创建进程:

Process Doppelgänging攻击技术与贴身防护是怎样的

0x03攻击效果

该攻击方式可以绕过国外主流防护软件。

Process Doppelgänging攻击技术与贴身防护是怎样的
图8

0x04 360安全卫士防御升级

360安全卫士针对此攻击方式,进行了防护强化,增加了多维度的保护,对攻击的注入和进程创建行为均进行拦截,保护用户电脑安全。

Process Doppelgänging攻击技术与贴身防护是怎样的
图 9

 Process Doppelgänging攻击技术与贴身防护是怎样的
图10

看完上述内容,你们掌握Process Doppelgänging攻击技术与贴身防护是怎样的的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注亿速云行业资讯频道,感谢各位的阅读!

推荐阅读:
  1. Execute Process Task
  2. Recover Deleted Item on Client by New Process

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

上一篇:如何解析String

下一篇:怎样对Build Web Site进行解释说明

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》