BlackHat公开“最狡猾”攻击技术 360成功防御

2018-01-09 17:22:58|来源:东北新闻网|编辑:朱安娜 |责编:韩俣

  在前不久伦敦举办的2017欧洲黑帽大会(Black Hat Europe 2017)上,来自网络安全公司enSilo的两名研究人员介绍了一种名为“Process Doppelgänging”的新型代码注入技术,一时间引起互联网安全行业的激烈讨论。

  据悉,这种新型技术可针对所有Windows版本的平台发起攻击,而且还可以帮助病毒散播者绕过大部分反病毒方案和取证工具。不过广大用户不必担心,目前360安全卫士已专门针对此攻击技术进行防护,通过多维度的主动防御技术,可对Process Doppelgänging攻击行为进行拦截,确保用户电脑安全。

图:360安全卫士成功拦截Process Doppelgänging攻击技术

  史上最狡猾攻击方式可绕过大部分杀软检测

  Process Doppelgänging与之前曝光的Process Hollowing技术类似,却又比后者更进一步。Process Hollowing是现代恶意软件常用的一种进程创建技术,虽然使用任务管理器之类的工具查看时,这些进程看起来合法,但该进程的代码实际上已被恶意内容替代。

  Process Doppelgänging除了以上方式外,还同时通过攻击Windows NTFS运作机制和一个来自Windows进程载入器中的过时应用,以此来掩盖已修改可执行文件的加载进程。

图:Process Doppelgänging可绕过大多数杀毒软件的检测

  研究人员表示,利用“Process Doppelgänging”的恶意代码不会保存到磁盘,也就是所谓的“无文件攻击”,因此大多数主流安全产品无法检测到。研究人员成功在国外多个知名杀软上测试了这种攻击技术,甚至高级取证工具(例如Volatility)也检测不到它,堪称是目前为止已发现的“最狡猾”的一种攻击方式。

  360主动防御再升级成功拦截“最狡猾”攻击

  enSilo研究人员曾表示,这项技术旨在允许恶意软件通过看似合法的进程在目标设备上运行任意代码(包括恶意代码),并且不留下任何活动踪迹,同时安全产品还检测不到其中的异常。

  此言论一出,互联网安全行业从业人士纷纷表示这是一个“喜忧参半”的消息。“喜”的是,实现“Process Doppelgänging”面临着大量技术挑战,攻击者需要了解进程创建的大量未公开细节。但同时,令人悲观的是,这种攻击无法通过打补丁修复解决,因为它利用的是基本功能和Windows进程加载机制的核心设计。

  不过广大中国网民可以放心,360安全卫士日前宣布已破解了“Process Doppelgänging”的攻击行为,通过对云安全主动防御系统的强化,360安全卫士以多维度的保护,对攻击的注入和进程创建行为均可进行拦截,保护用户电脑不会被恶意代码感染。

分享到:

国际在线版权与信息产品内容销售的声明:

1、“国际在线”由中国国际广播电台主办。经中国国际广播电台授权,国广国际在线网络(北京)有限公司独家负责“国际在线”网站的市场经营。

2、凡本网注明“来源:国际在线”的所有信息内容,未经书面授权,任何单位及个人不得转载、摘编、复制或利用其他方式使用。

3、“国际在线”自有版权信息(包括但不限于“国际在线专稿”、“国际在线消息”、“国际在线XX消息”“国际在线报道”“国际在线XX报道”等信息内容,但明确标注为第三方版权的内容除外)均由国广国际在线网络(北京)有限公司统一管理和销售。

已取得国广国际在线网络(北京)有限公司使用授权的被授权人,应严格在授权范围内使用,不得超范围使用,使用时应注明“来源:国际在线”。违反上述声明者,本网将追究其相关法律责任。

任何未与国广国际在线网络(北京)有限公司签订相关协议或未取得授权书的公司、媒体、网站和个人均无权销售、使用“国际在线”网站的自有版权信息产品。否则,国广国际在线网络(北京)有限公司将采取法律手段维护合法权益,因此产生的损失及为此所花费的全部费用(包括但不限于律师费、诉讼费、差旅费、公证费等)全部由侵权方承担。

4、凡本网注明“来源:XXX(非国际在线)”的作品,均转载自其它媒体,转载目的在于传递更多信息,丰富网络文化,此类稿件并不代表本网赞同其观点和对其真实性负责。

5、如因作品内容、版权和其他问题需要与本网联系的,请在该事由发生之日起30日内进行。