Microsoft постоянно работает над улучшением механизмов защиты своей операционной системы Windows, однако предусмотреть все и везде очень сложно.


Так вчера на конференции хакеров Black Hat 2017 стало известно об очень серьезной уязвимости. Алгоритм Process Doppelgänging, который использует Windows NTFS Transaction, позволяет запустить внутрь системы вредоносный код и его не находит ни один антивирус.

Что за функция NTFS Transaction? Она была представлена в Windows Vista и позволяет программам записывать какие-либо данные на жесткий диск. До этого используемые алгоритмы не давали гарантий полного вывода нужной информации, и если обнаруживалась какая-то проблема, то данные записывались лишь частично, что было неудобно для разработчиков.

С выходом NTFS Transaction у них теперь есть гарантия, что все данные в полном объеме будут записаны на диск. Все происходит в три этапа:

  1. Нужная информация записывается системой в отдельную область на диске и она следит, чтобы все прошло успешно.
  2. Если все прошло хорошо, то система идет перемещение файлов в указанную программой директорию. Происходит это с помощью ссылок.
  3. Если же не удается записать, то Windows пробует вывести информацию в другое место на диске.

На данный момент механизм NTFS Transaction устарел. Его не рекомендуют использовать разработчикам, а в будущих версиях он может и вовсе исчезнуть.

Что делает Process Doppelgänging? Хакерам удалось узнать, что никакие антивирусы не следят за той областью диска, куда NTFS Transaction пробует записать данные. Поэтому вредоносный код, который создаст на диске область с файлами вируса внедряется в какой-нибудь доверенный исполняемый файл, который запускают в NTFS Trasnsaction. Получается, что функция искусственно прерывается, и Windows возвращает зараженный исполняемый файл в его предыдущее состояние, удаляя все упоминания о вирусе. При этом область на диске, созданная вирусом, остаётся, причём фактически она невидима для любых антивирусов. Далее вирус запускается с помощью устаревшего механизма времен Windows XP.

Уязвимы все версии Windows, включая Windows 10 Creators Update и Windows 10 Fall Creators Update. Хакеры считают, что Microsoft не станет выпускать какой-то патч под это дело, поэтому дело за антивирусным ПО, которым стоит научится находить подобную атаку.

Система Orphus

От Admin,