Вверх

Реклама

Статистика

Яндекс.Метрика

Кто на сайте

Сейчас 96 гостей и ни одного зарегистрированного пользователя на сайте

Найдена уязвимость во всех версиях Windows, которую не закрывает ни один антивирус

Портал The Hacker News сообщает об обнаружении уязвимости в загрузчике Windows, которая позволяет запускать исполняемый код так, что он не определяется антивирусными программами, при этом эксплоит не оставляет следов в файловой системе.

8bma0btw2shnpjisc42nu3olbiqente32523

Технология, использованная в эксплоите, получила название Process Doppelgänging (от «доппельгангер» — «двойник»), и использует технологию NTFS Transactions для сокрытия следов и запуска малвари. Общая схема эксплоита выглядит так:

На первом этапе создается транзакция NTFS на изменение какого-либо легитимного файла Windows, его тело заменяется на вредоносный код. Транзакция не закрывается.

Второй этап — создание копии измененного файла в памяти (memory section). В память попадает вредоносный код, при этом, так как не было фактического обращения к файловой системе, антивирусы не реагируют на обращение к ФС.

Третий этап — откат транзакции NTFS. Файл не менялся, следов на диске нет, но в памяти уже засел зловред.

Четвертый этап — вызов загрузчика Windows с помощью вызова, создающего процесс из секции памяти, созданной из исполняемого файла (ZwCreateProcess), в котором по факту находится вредоносный код. Алгоритмы сканера антивируса реагируют, но читают образ файла с диска, а там никто ничего не менял, и процесс запускается на выполнение.

Разработчики утверждают, что на текущий момент данный эксплоит нельзя заблокировать, но антивирусные решения могут быть обновлены для обнаружения атак через данный метод. На текущий момент уязвимость существует во всех версиях Windows, начиная с Windows XP и заканчивая последней версией Windows 10 Fall Creators Update. В последней был баг, из-за которого применение Process Doppelgänging роняло систему в «синий экран смерти», но Микрософт с тех пор этот баг исправила.

Проверенные антивирусные решения, которые пропускают эксплоит на 07.12.2017 (из источника): Windows Defender, Kaspersky Endpoint Protection 14, AVG Internet Security, ESET NOD 32, Symantec Endpoint Protection 14, Trend Micro, Avast, McAfee VSE 8.8, Panda Antivirus, Qihoo 360

Популярные видеобзоры

Обзор материнской платы RB912UAG-2HPnD

Матринская плата RB912UAG-2HPnD Материнская плата RB912UAG-2HPnD (производство компании Микротик, Латвия) является системной компонентой для сборки WiFi-роутера своими руками. Функционал платы RB912UAG-2HPnD включает в себя 1Вт-ный 2.4 ГГц WiFi-модуль, выход на две антенны, разъем для подключения платы MicroPCIex и разъем USB 2.0. Т.е. все для создания точки доступа и подключения к 3/4G сетям либо через USB-модем (достаточная надежность) либо через MicroPCIex плату (очень надежно).

Ах да еще и ethernet порт. Данную плату можно установить практически в любой, подходящий по размерам корпус, к нему же подключить антенны. К тому же у платы есть защита от удара грозы, до 16кВ - сразу понятно на что, компания Микротик делает упор в этой плате.

Подробнее...

Обзор маршрутизатора Mikrotik RB2011UiAS-RM

Маршрутизатор RB2011UiAS-RMМаршрутизатор RB2011UiAS-RM производства Латвийской компании Микротик (к счастью санкции пока ее не коснулись), является базовой моделью новой линейки маршрутизаторов серии RB2011 с пятью портами 10/100/1000М и пятью портами 10/100М и портом microUSB 2.0 в металлическом корпусе 1U, с возможностью установки в телекоммуникационную стойку 19" и сенсорным экраном на лицевой панели. Также имеет один порт питания POE 500мА на выход.

Подробнее...

Заказ обратного звонка

Перезвоним через 30 секунд.