Найдена уязвимость во всех версиях Windows, которую не закрывает ни один антивирус

AmneziaWG
H

hiller1234

Original poster
8bma0btw2shnpjisc42nu3olbiq.png
Портал

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

сообщает об обнаружении уязвимости в загрузчике Windows, которая позволяет запускать исполняемый код так, что он не определяется антивирусными программами, при этом эксплоит не оставляет следов в файловой системе.
Технология, использованная в эксплоите, получила название Process Doppelgänging (от «доппельгангер» — «двойник»), и использует технологию NTFS Transactions для сокрытия следов и запуска малвари. Общая схема эксплоита выглядит так:

На первом этапе создается транзакция NTFS на изменение какого-либо легитимного файла Windows, его тело заменяется на вредоносный код. Транзакция не закрывается.

Второй этап — создание копии измененного файла в памяти (memory section). В память попадает вредоносный код, при этом, так как не было фактического обращения к файловой системе, антивирусы не реагируют на обращение к ФС.

Третий этап — откат транзакции NTFS. Файл не менялся, следов на диске нет, но в памяти уже засел зловред.

Четвертый этап — вызов загрузчика Windows с помощью вызова, создающего процесс из секции памяти, созданной из исполняемого файла (ZwCreateProcess), в котором по факту находится вредоносный код. Алгоритмы сканера антивируса реагируют, но читают образ файла с диска, а там никто ничего не менял, и процесс запускается на выполнение.

Разработчики утверждают, что на текущий момент данный эксплоит нельзя заблокировать, но антивирусные решения могут быть обновлены для обнаружения атак через данный метод. На текущий момент уязвимость существует во всех версиях Windows, начиная с Windows XP и заканчивая последней версией Windows 10 Fall Creators Update. В последней был баг, из-за которого применение Process Doppelgänging роняло систему в «синий экран смерти», но Микрософт с тех пор этот баг исправила.

Проверенные антивирусные решения, которые пропускают эксплоит на 07.12.2017 (из источника): Windows Defender, Kaspersky Endpoint Protection 14, AVG Internet Security, ESET NOD 32, Symantec Endpoint Protection 14, Trend Micro, Avast, McAfee VSE 8.8, Panda Antivirus, Qihoo 360
 
Последнее редактирование модератором:
Название темы
Автор Заголовок Раздел Ответы Дата
Support81 Страшнее, чем «Rapid Reset»: в протоколе HTTPS/2 выявлена новая фундаментальная уязвимость Новости в сети 0
Support81 Хакеры сами устраняют уязвимость BIG-IP: борьба за эксклюзивный доступ к зараженным системам Новости в сети 0
Support81 Пользователи Windows, будьте осторожны: DarkGate использует уязвимость нулевого дня Новости в сети 0
Support81 Ботнет DreamBus использует уязвимость в RocketMQ для распространения майнера Новости в сети 0
Support81 Слив года: уязвимость Vyper стала инструментом массового оттока криптовалюты Новости в сети 0
Support81 Как взломать сайт за 5 минут: уязвимость в плагине Ultimate Member дает полный доступ к WordPress Новости в сети 0
DOMINUS Новая уязвимость TikTok позволяет собирать личные данные пользователей Новости в сети 1
S OpenSMTPD критическую уязвимость Уязвимости и взлом 0
O Тысячи Android-приложений могут содержать RCE-уязвимость Новости в сети 0
B В антивирусе McAfee нашли уязвимость повышения прав Уязвимости и взлом 0
T Новая уязвимость в VirtualBox, позволяющая выполнить код на стороне хост-системы Полезные статьи 0
S Интересная уязвимость одноразовой почты Уязвимости и взлом 1
S Критическая уязвимость в системах шифрования email на основе PGP/GPG и S/MIME Уязвимости и взлом 0
S Критическая уязвимость в чипах Wi-Fi затрагивает миллионы Android- и iOS-устройств Новости в сети 0
S В Linux обнаружена критическая уязвимость Новости в сети 0
Support81 Ни в коем случае: Mozilla выступила против законопроекта об интернет-цензуре во Франции Новости в сети 1
transis Микс банков РФ (кол-во 55425) Другое 0
T Куплю Купить электронную почту во все страны.(combolist) Куплю/Продам 0
X Проверено Резидентные прокси во всем мире - без лимита по трафику [XProxy.Pro] Дедики/VPN/соксы/ssh 25
L Интересно Блокчейн-казино Fairspin сообщило о рекордных выигрышах во время карантина Новости в сети 0
CMDfromBAT Интересно Слежка во время карантина Новости в сети 0
S Преступная нейросеть. Могут ли хакеры обратить во зло искусственный интеллект Полезные статьи 1
АнАлЬнАя ЧуПаКаБрА MIX Огромнейшее кол-во баз слитых из забугра Раздача email 2
AHAHAC Огромное кол-во баз Без Хайда чекайте парни)) Раздача email 5
G ЭТО СПАРТА! Пробиваем безопасность во время скана. Часть 3 Полезные статьи 0
G ЭТО СПАРТА! Пробиваем безопасность во время скана. Часть 2 Полезные статьи 0
G ЭТО СПАРТА! Пробиваем безопасность во время скана. Часть 1 Полезные статьи 0
G Анонимность во всем! Полезные статьи 3
S L.S.Sender - программа для продвижения во ВКонтакте и Instagram - Cracked By [#PCR#] Корзина 0
Admin Некоторые мысли о мышлении (особенно во времена Cyber) Свободное общение и флейм 0

Название темы