روش حمله‌ی Process Doppelgänging در تمام نسخه‌های ویندوز کار می‌کند

کمیته رکن چهارم – گروهی از پژوهش‌گران امنیتی روش دور زدن جدید کشف کرده‌اند که به نویسندگان بدافزار کمک می‌کند که بسیاری از نرم‌های ضدبدافزار و ابزارهای قانونی امروزی را شکست دهند.

این روش که Process Doppelgänging نام دارد، یک روش تزریق کد بدون نیاز به پرونده‌های مخرب و بدافزار است که از یک تابع موجود در ویندوز و یک ویژگی مستندسازی‌نشده‌ی ابزار بارگذاری فرآیند ویندوز استفاده می‌کند.

پژوهش‌گران امنیتی Ensilo، به نام‌های Tal Liberman و Eugene Kogan، که این روش حمله‌ را کشف کرده‌اند، یافته‌های خود را در کنفرانس امنیتی Black Hat سال ۲۰۱۷ میلادی که در لندن برگزار شد، ارائه دادند.

روش Process Doppelgänging در تمام نسخه‌های ویندوز کار می‌کند

ظاهرا روش حمله‌ی Process Doppelgänging در تمام نسخه‌های امروزی سامانه عامل مایکروسافت ویندوز، از ویندوز ویستا گرفته تا آخرین نسخه‌ی ویندوز ۱۰، کار می کند.

Tal Liberman، رئیس گروه تحقیقاتی شرکت enSilo، گفت: «این روش دور زدن که در بدافزارها استفاده می‌شود، شبیه به یک روش به نام Process Hollowing است که سال‌ها پیش توسط مهاجمان معرفی شد تا قابلیت‌های محافظتی محصولات امنیتی را شکست دهد.»

در روش حمله‌ی Process Hollowing، نفوذگران حافظه‌ی یک فرآیند قانونی را با یک کد مخرب جایگزین می‌کنند، بنابراین کد دوم به جای کد اصلی اجرا می‌شود و ابزارهای نظارت بر فرآیندها و ضدبدافزارها فریب می‌خورند و نمی‌توانند تشخیص دهند که یک فرآیند مخرب در حال اجرا است.

از آن‌جایی که تمام ضدبدافزارها و محصولات امنیتی به منظور تشخیص حملات Process Hollowing ارتقاء یافته‌اند، استفاده از این روش، دیگر ایده‌ی خوبی نیست.

از سوی دیگر، Process Doppelgänging با یک رویکرد کاملا متفاوت و سوء استفاده از تراکنش‌های NTFS ویندوز و یک پیاده‌سازی قدیمیِ یک ابزار بارگذاری فرآیند ویندوز، که در ابتدا برای ویندوز XP طراحی شده بود اما در تمام نسخه‌های بعدی ویندوز نیز اجرا شد، برای رسیدن به همان هدف روش قبلی تلاش می‌کند.

نحوه‌ی کار حمله‌ی Process Doppelgänging

قبل از این‌که به این مسأله بپردازیم که این روش حمله‌ی تزریق کد جدید چگونه کار می‌کند، باید بدانید که تراکنش NTFS ویندوز چیست و یک مهاجم چگونه می‌تواند از آن برای مخفی کردن فعالیت‌های مخرب خود استفاده کند.

تراکنش NTFS ویندوز یکی از ویژگی‌های ویندوز است که مفهوم تراکنش‌های تجزیه‌ناپذیر را به سامانه‌ی پرونده‌ی NTFS می‌آورد، به این ترتیب می‌توان پرونده‌ها و مسیرهای رایانه را ایجادو اصلاح کرده و یا تغییر نام داده و حذف کرد.

تراکنش‌ NTFS یک فضای جداگانه است که به توسعه‌دهندگان برنامه‌های ویندوز اجازه می‌دهد تا دستورات پرونده‌ی خروجی را بنویسند و به آن‌ها اطمینان می‌دهد که یا این دستورات به طور کامل انجام می‌شوند و یا کاملا شکست می‌خورند.

به گفته‌ی پژوهش‌گران، Process Doppelgänging روش حمله‌ای است که به پرونده‌های مخرب و بدافزارها نیازی ندارد و در چهار مرحله اصلی به شرح زیر عمل می‌کند:

تراکنش: پردازش یک پرونده‌ی اجرایی قانونی در تراکنش NTFS و سپس بازنویسی آن با یک پرونده‌ی مخرب.

بارگذاری: ایجاد یک بخش حافظه با استفاده از یک پرونده‌ی مخرب جعلی.

عقب‌گرد: عقب‌گرد تراکنش (شکست عمدی تراکنش)، و در نتیجه حذف تمام تغییرات در پرونده‌ی اجرایی قانونی به طوری که گویا هرگز این تغییرات ایجاد نشده‌اند.

احیا کردن: ایجاد فرآیند doppelganger. استفاده از اجرای قبلی ابزار بارگذاری فرآیند ویندوز برای ایجاد یک فرآیند با استفاده از بخش حافظه‌ی ایجاد‌شده‌ی قبلی (در مرحله‌ی دوم)، که واقعا مخرب است و هرگز در دیسک ذخیره نشده است، و این مسأله باعث می‌شود که این بخش از حافظه برای بیشتر ابزارهای ضبط مانند EDRها غیرقابل تشخیص باشد.

روش‌ حمله‌ی Process Doppelgänging، راه‌کارهای حفاظتی بسیاری از ضدبدافزارها را دور می‌زند

لیبرمن گفت: «در خلال تحقیقات ما این حمله را روی محصولات امنیتی زیادی از ویندوز دیفندر، آزمایشگاه کسپرسکی، ESET NOD۳۲، سیمانتک، ترند میکرو، اَوست، McAfee، AVG، پاندا، و حتی ابزارهای قانونی پیشرفته مورد آزمایش قرار دادیم.»

این پژوهش‌گران به منظور اثبات گفته‌های خود، پس از انجام حمله‌ی Process Doppelgänging به منظور دور زدن راه‌کارهای حفاظتی ضدبدافزار، از ابزار Mimikatz استفاده کردند، که یک ابزار پس از بهره‌برداری است که به استخراج گواهی‌نامه‌ها از سامانه‌های آسیب‌دیده کمک می‌کند.

وقتی پژوهش‌گران به طور معمول ابزار Mimikatz را روی یک سامانه عامل ویندوز اجرا کردند، ضدبدافزار سیمانتک بلافاصله این ابزار را تشخیص داد.

با این حال، ابزار Mimikatz به طور محرمانه اجرا شد، و هنگام اجرای این ابزار با استفاده از Process Doppelgänging، ضدبدافزار هیچ هشداری را نمایش نداد.

لیبرمن همچنین گفت: «روش حمله‌ی Process Doppelgänging حتی در آخرین نسخه از ویندوز ۱۰ نیز کار می‌کند، به جز در به‌روزرسانی‌های Redstone و Fall Creators ویندوز ۱۰ که در اوایل سال جاری منتشر شدند.»

اما در نتیجه‌ی یک آسیب‌پذیری متفاوت در به‌روزرسانی‌های Redstone و Fall Creators ویندوز ۱۰، استفاده از روش حمله‌ی Process Doppelgänging باعث نمایش صفحه‌نمایش آبی مرگ (BSOD) می‌شود که باعث خرابی رایانه‌های کاربران می‌شود.

اتفاقا این آسیب‌پذیری خرابی رایانه که در به‌روزرسانی‌های بعدی توسط مایکروسافت وصله شد، به حمله‌ی Process Doppelgänging اجازه می‌دهد که روی آخرین نسخه از ویندوز ۱۰ اجرا شود.

انتظار نمی‌رود که مایکروسافت به سرعت با انتشار وصله‌ای برخی از نرم‌افزارها که بر پایه‌ی پیاده‌سازی‌های قدیمی هستند را ناپایدار کند، اما شرکت‌های ضدبدافزار می‌توانند محصولات خود را ارتقاء دهند تا برنامه‌های مخربی که از روش حمله‌ی Process Doppelgänging یا حملات مشابه استفاده می‌کنند را تشخیص دهند.

این اولین بار نیست که پژوهش‌گران شرکت enSilo یک روش دور زدن راه‌کارهای دفاعی که در بدافزارها استفاده می‌شود را پیدا کرده‌اند. پیش از این نیز آن‌ها روش AtomBombing را کشف کرده و نشان دادند که این روش نیز از یک نقطه‌ ضعف در سامانه عامل ویندوز سوء استفاده می‌کرد.

در ماه سپتامبر نیز پژوهش‌گران شرکت enSilo یک خطای برنامه‌نویسی ۱۷ ساله را در هسته‌ی مایکروسات ویندوز کشف کردند که مانع از تشخیص بدافزارها توسط نرم‌افزارهای امنیتی می‌شد.

منبع : news.asis.io