' style='fill:%23c4c4c4;fill-opacity:1'%3E%3Cpath d='M93.28-57.4h2.52l-6.33 11.74h-2.6l6.41-11.75zM98.5-57.4h2.52L94.7-45.67h-2.6l6.4-11.75zM103.78-57.4h2.52l-6.33 11.74h-2.6l6.4-11.75z'/%3E%3C/a%3E%3C/svg%3E)
Программисты рассказали о новом способе взлома Windows
Специалисты компании enSilo Тал Либерман и Евгений Коган рассказали о новой технике атак на все версии операционной системы Windows, она называется Process Doppelganging (PD) и остается незамеченной для антивирусов. Об этом они рассказали на конференции Black Hat Europe 2017 в Лондоне, пишет Bleeping Computer.
Метод PD использует механизмы NTFS — стандартной файловой системы для Windows. Вредоносный код PD не сохраняется на диске устройства, поэтому основные антивирусные программы не видят его. Код постоянно находится в оперативной памяти. С помощью PD также можно подменять окна браузера и красть пароли с зараженного устройства. Запущенный код заменяется на вредоносный.
Программисты протестировали вредоносную программу на компьютерах с антивирусами Kaspersky, Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360 и Panda, а также программой Volatility — никто из них не обнаружил PD.
Атаку с помощью этой программы нельзя устранить, поскольку «она использует фундаментальные функции и основной дизайн механизма загрузки процессов в Windows» и не распознается как нарушение процессов работы.
Ранее в «Лаборатории Касперского» заявили, что в 2018 году целями хакеров станут технологические предприятия и разработчики легального программного обеспечения. В компании отметили, что вирусы WannaCry, ExPetr и Bad Rabbit показали, что технологические сети уязвимее, чем корпоративные. Атаки также могут быть на домашние роутеры и модемы, поэтому специалисты советуют сменить заводские пароли и выделить отдельную подсеть для домашних устройств.
