Nova técnica permite que malwares evitem detecção por softwares antivírus no Windows

Pesquisadores de segurança descobriram uma nova técnica que permite que malwares evitem a detecção por softwares antivírus e ferramentas forenses no Windows.

Nova técnica permite que malwares evitem detecção por softwares antivírus no Windows

Batizada como “Process Doppelgänging”, esta nova técnica de injeção de código tira proveito de uma função do Windows e da implementação desatualizada do carregador de processos no sistema operacional da Microsoft.

Os pesquisadores de segurança Tal Liberman e Eugene Kogan, da enSilo, demonstraram a técnica hoje durante a conferência de segurança Black Hat 2017 em Londres.

De acordo com eles, a técnica Process Doppelgänging funciona em todas as versões modernas do Windows – desde o Windows Vista até o Windows 10.

A nova técnica lembra um pouco outra introduzida anos atrás, que era conhecida como Process Hollowing. No caso da técnica Process Hollowing, hackers substituem a memória de um processo legítimo por um código malicioso que é executado ao invés do original, enganando assim as ferramentas de monitoramento de processos e softwares antivírus – que pensam que o processo legítimo original está sendo executado.

Como os softwares antivírus modernos já são capazes de detectar ataques baseados na técnica Process Hollowing, ela já não é mais tão útil.

No caso da nova técnica Process Doppelgänging, ela explora o recurso NTFS Transaction e a implementação desatualizada do carregador de processos no sistema operacional da Microsoft, que foi originalmente criada para o Windows XP e continua presente nas outras versões.

A técnica funciona em quatro passos:

– Transact: processa um executável legítimo no recurso NTFS Transaction e o substitui por um arquivo malicioso.

– Load: cria uma seção de memória a partir do arquivo malicioso.

– Rollback: reverte a transação, resultando na remoção de todas as alterações no executável legítimo como se elas nunca existissem.

– Animate: usa a implementação desatualizada do carregador de processos do Windows para criar um processo malicioso com a seção de memória criada no passo 2, que evitará a detecção por boa parte dos softwares antivírus:

Baboo - Tecnologia e Ciência Baboo - Tecnologia e Ciência

Para demonstração da técnica os pesquisadores usaram a ferramenta Mimikatz, criada para ajudar a extrair credenciais dos sistemas afetados. Sem a técnica em uso a ferramenta foi detectada imediatamente pelo antivírus da Symantec:

Baboo - Tecnologia e Ciência Baboo - Tecnologia e Ciência

Com a técnica Process Doppelgänging, a ferramenta foi executada normalmente sem ser detectada:

Nova técnica permite que malwares evitem detecção por softwares antivírus no Windows Baboo - Tecnologia e Ciência