en

‫ حمله process Doppelganging

یک تیم از محققان امنیتی تکنیکی را کشف کرده اند که به ویروس نویسان کمک می کند تا تمامی آنتی‌ویروس های مدرن و ابزارهای ردیابی سیستم را دور بزنند.

#‫Process_Doppelganging، تکنیک تزریق کد [1]است که از فایل های اصلی ویندوز استفاده می کند و فرآیندهای اجرایی ویندوز را به صورت غیر قانونی اجرا می کند.

حمله ی Process Doppelgängingبرروی تمامی نسخه های ویندوز، از ویندوز ویستا تا ویندوز 10 کار می‌کند.

Tal Libermanرهبر تیم تحقیقاتی ensiloادعا می کند که این تکنیک دور زدن آنتی ویروس، شبیه به حمله Process Hollowingکه یک متد جدید برای دور زدن محصولات امنیتی ارائه داده است می باشد.

همچنین Libermanادعا کرده که طبق خبرهای هکرها، آنها این حملات را روی تمامی محصولات امنیتی مانند Kaspersky، Nod 32، Symantecو... پیاده سازی کردند.

Tal Libermanو Eugene Koganمحققان امنیتی گروه ensilo کاشفان حمله Process Doppelgänging هستند، که یافته های خود را در کنفرانس Black Hat 2017لندن ارائه دادند.

دریافت فایل پیوست

[1] Code injection


The Wall

No comments
You need to sign in to comment