Программисты рассказали о новом способе взлома Windows

Discussion in 'Мировые новости. Обсуждения.' started by user100, 10 Dec 2017.

  1. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,806
    Likes Received:
    13,083
    Reputations:
    352
    Программисты рассказали о новом способе взлома Windows

    Специалисты компании enSilo Тал Либерман и Евгений Коган рассказали о новой технике атак на все версии операционной системы Windows, она называется Process Doppelganging (PD) и остается незамеченной для антивирусов. Об этом они рассказали на конференции Black Hat Europe 2017 в Лондоне, пишет Bleeping Computer.

    Метод PD использует механизмы NTFS — стандартной файловой системы для Windows. Вредоносный код PD не сохраняется на диске устройства, поэтому основные антивирусные программы не видят его. Код постоянно находится в оперативной памяти. С помощью PD также можно подменять окна браузера и красть пароли с зараженного устройства. Запущенный код заменяется на вредоносный.

    Программисты протестировали вредоносную программу на компьютерах с антивирусами Kaspersky, Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360 и Panda, а также программой Volatility — никто из них не обнаружил PD.

    Атаку с помощью этой программы нельзя устранить, поскольку «она использует фундаментальные функции и основной дизайн механизма загрузки процессов в Windows» и не распознается как нарушение процессов работы.

    Ранее в «Лаборатории Касперского» заявили, что в 2018 году целями хакеров станут технологические предприятия и разработчики легального программного обеспечения. В компании отметили, что вирусы WannaCry, ExPetr и Bad Rabbit показали, что технологические сети уязвимее, чем корпоративные. Атаки также могут быть на домашние роутеры и модемы, поэтому специалисты советуют сменить заводские пароли и выделить отдельную подсеть для домашних устройств.
     
    _________________________
    Olivia Dunham and uzeerpc like this.
  2. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    351
    Likes Received:
    330
    Reputations:
    6
    Как они умудряются "подменить легитимный файл в контексте транзакции" не представляю. Всегда думал что это невозможно. Если это правда то открываются значительные перспективы для различного ПО
     
  3. Sun2017

    Sun2017 Member

    Joined:
    5 May 2017
    Messages:
    338
    Likes Received:
    85
    Reputations:
    0
    и сейчас производители ноутбуков сделали так, чтобы оперативная память ноутбуков была почти несъемная для простых пользователей.

    Ведь, как известно, чтобы сбросить ОЗУ (RAM, оперативную память) нужно вытащить её из ПК хотя бы на 2-5 минут, и тогда она очистится,
    это нужно делать вместе с перепрошивкой биоса одновременно, и очисткой mbr жесткого диска.

    После всего этого нужно поставить пароль на bios,
    потом только устанавливать операционную систему.
     
  4. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,806
    Likes Received:
    13,083
    Reputations:
    352
    Вот тут чуть подробнее разобрали метод:
    https://habrahabr.ru/post/344376/
     
    _________________________
Loading...