Process Doppelgänging: เทคนิคหลบหลีกใหม่ บายพาสระบบรักษาความมั่นคงปลอดภัยได้ทุก Windows

ภายในงานประชุม Black Hat Europe 2017 ที่กำลังจัดขึ้นที่ลอนดอน ณ ขณะนี้ 2 นักวิจัยด้านความมั่นคงปลอดภัยจาก enSilo บริษัททางด้านความมั่นคงปลอดภัยไซเบอร์ชื่อดัง ได้ออกมาเปิดเผยถึงเทคนิคสำหรับใช้หลบหลีกระบบรักษาความมั่นคงปลอดภัยแบบใหม่ เรียกว่า Process Doppelgänging ซึ่งสามารถใช้บน Windows ได้ทุกเวอร์ชันไม่เว้นแม้แต่ Windows 10

Credit: Ditty about summer/ShutterStock

Process Doppelgänging เป็นเทคนิคที่ให้ผลลัพธ์เหมือนกับการทำ Process Hollowing แต่ต่างวิธีกัน คือใช้ประโยชน์จากกลไกของ NTFS Transactions บน Windows แทน โดยทีมนักวิจัยให้คำอธิบายไว้ดังนี้

Doppelgänging works by utilizing two key distinct features together to mask the loading of a modified executable. By using NTFS transactions, we make changes to an executable file that will never actually be committed to disk. We will then use undocumented implementation details of the process loading mechanism to load our modified executable, but not before rolling back the changes we made to the executable. The result of this procedure is creating a process from the modified executable, while deployed security mechanisms remain in the dark.

ในการโจมตีแบบ Process Hollowing แฮ็กเกอร์จะแทนที่โปรเซสปกติในหน่วยความจำด้วยมัลแวร์ ทำให้โค้ดมัลแวร์ถูกรันแทนโค้ดต้นฉบับ ส่งผลให้เครื่องมือสำหรับเฝ้าระวังโปรเซสแบบต่างๆ และโปรแกรม Antivirus ถูกหลอกว่าโค้ดต้นฉบับกำลังถูกรันอยู่ อย่างไรก็ตาม Process Doppelgänging กลับใช้วิธีที่ต่างกันออกไป โดยใช้ NTFS Transactions และ Windows Process Loader ที่ถูกออกแบบมาสำหรับ Windows XP แต่ยังคงอยู่จนถึง Windows เวอร์ชันล่าสุดซึ่งไม่ถูกใช้งานแล้วแทน

ทีมนักวิจัยระบุว่ามัลแวร์ที่ใช้เทคนิค Process Doppelgänging จะไม่ถูกเซฟข้อมูลลงดิสก์ ส่งผลให้เป็นการโจมตีแบบ Fileless Attack ซึ่งทำให้ผลิตภัณฑ์ Antivirus ส่วนใหญ่ไม่สามารถตรวจจับได้ ซึ่งพวกเขาประสบความสำเร็จในการใช้ Process Doppelgänging เพื่อรัน Mimikatz (เครื่องมือยอดนิยมสำหรับใช้ขโมยรหัสผ่าน) โดยสามารถบายพาสผลิตภัณฑ์จาก Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast และ Panda ได้ นอกจากนี้ เครื่องมือสำหรับทำ Forensics ระดับสูงอย่าง Volatility ก็ไม่สามารถตรวจจับการโจมตีได้ด้วยเช่นกัน

อย่างไรก็ตาม ทีมนักวิจัยระบุว่ามีทั้งข่าวดีและข่าวร้ายในการโจมตีแบบ Process Doppelgänging ข่าวดีคือ การโจมตีดังกล่าวต้องใช้เทคนิคระดับสูงเพื่อให้การโจมตีประสบความสำเร็จ และจำเป็นต้องรู้จักกระบวนการสร้างโปรเซสในรายละเอียดเชิงลึกที่ไม่อยู่ในเอกสาร ส่วนข่าวร้ายคือ การโจมตีนี้ไม่สามารถแก้ไขได้ด้วยการอัปเดตแพตช์ เนื่องจากเป็นช่องโหว่บนฟีเจอร์พื้นฐานและคอร์หลักของการออกแบบกระบวนการโหลดโปรเซสบน Windows

ผู้ที่สนใจสามารถติดตามอ่านรายละเอียดเชิงเทคนิคได้บนเว็บไซต์ของ Black Hat ซึ่งเอกสารประกอบการบรรยายจะถูกเผยแพร่เร็วๆ นี้

ที่มา: https://www.bleepingcomputer.com/news/security/-process-doppelg-nging-attack-works-on-all-windows-versions/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Twitter ลบหลายพัน Accounts ปลอมที่มุ่งหวังทางการเมืองออกจากระบบ

Twitter ได้ออกมาเปิดเผยว่าได้ทำการลบ Accounts ปลอมออกจากระบบรวมทั้งสิ้น 4,779 รายชื่อ เนื่องจากเชื่อว่า Accounts เหล่านี้ถูกสร้างและใช้งานเพื่อหวังผลทางการเมือง คาดมีส่วนเกี่ยวข้องกับประเทศอิหร่านและรัสเซีย

แนะนำ AMD EPYC Server: อีกทางเลือกหนึ่งที่อาจช่วยลดค่าใช้จ่ายใน Data Center ขององค์กรได้อย่างคาดไม่ถึง

ท่ามกลางยุคแห่งการทำ Digital Transformation นี้ ยอดขายของ Server ทั่วโลกนั้นก็เติบโตขึ้นเป็นลำดับสอดคล้องกับความต้องการในการประมวลผลที่สูงขึ้นอย่างรวดเร็ว AMD ในฐานะของผู้พัฒนาเทคโนโลยีด้านการประมวลผลระดับโลก จึงได้นำเสนอ AMD EPYC หน่วยประมวลผลสำหรับ Server ที่ออกแบบด้วยแนวคิดต่างจาก x86 CPU ค่ายอื่นๆ เพื่อให้เหล่าธุรกิจองค์กรได้มีทางเลือกใหม่ที่คุ้มค่าในการลงทุน บทความนี้จะนำทุกท่านไปรู้จักกับ AMD EPYC Server สำหรับการใช้งานภายใน Data Center ของธุรกิจองค์กรโดยเฉพาะกันครับ