ככל שעובר הזמן והטכנולוגיה מתפתחת, כך גם איומי האבטחה הופכים להיות יותר מתוחכמים ויותר הרסניים. חברות האנטי-וירוס השונות נאבקות בניסיון לבלום מתקפות, אך נראה שסוג חדש של מנגנון, אשר מדווח במחקר שערכה חברת אינסיילו (enSilo), מאפשר למתקפות שונות לחמוק מתחת לראדר של תוכנות האנטי וירוס.
במחקר הוכיחה החברה כי באמצעות הסוואה של פעולות זדוניות כתהליכים של מערכת ההפעלה, מתייחסת Windows לתהליך המתחזה כלגיטימי ומאפשרת לו לעקוף את כל מנגנוני האבטחה. ברגע שתהליך ה"דופלגנג" (כפיל) נכנס לשימוש, האקרים יכולים להריץ קודים זדוניים אשר מערכות הגנה שונות יודעות לזהות ולעצור, כאשר הפעם המערכות השונות לא יידעו כיצד להתמודד איתם. יתרון נוסף שהתוקפים מקבלים משימוש בתהליך אשר מכונה “Process Doppelgänging” הוא שהתהליך לא משאיר עדויות, ובכך מקשה על זיהוי המתקפה ומקורה.
לאחר מתקפה מוצלחת מסוג זה, יכולים החוקרים להפעיל מתקפות כופר, Keylogging או גניבת מידע. אינסיילו מציינת כי מערכת האבטחה שלה יודעת להתמודד עם האיום, ויודעת לזהות ולמנוע גם מתקפות מסוג זה. כמו כן, היא תספק לחברות אבטחה אחרות תוכנת בדיקה שכתבה, אשר תדמה מתקפה מוכרת במבנה המוכר שלה, ולאחריה מתקפה מוכרת בתהליך הדופלגנג. זאת בכדי לסייע להן לבנות כלים שיתמודדו עם שיטה זו.
"שיטת ה’דופלגנג’ שחשפנו ממנפת מספר מנגנונים מורכבים במערכת ההפעלה חלונות, ומתבססת על ידע עמוק של הדרך בה פועלים מנועי סריקה של קבצים באנטי-וירוסים. שילוב בין כל אלה יוצר הסוואה של הקוד הזדוני כקוד לגיטימי, ומאפשר לעקוף את כל מוצרי האבטחה שנבדקו", מסביר אחד החוקרים שגילו את המנגנון החדש. "זו דוגמה נוספת לדרך בה מספר מניפולציות קטנות בקוד, המתבססות על הבנה עמוקה של מערכת ההפעלה, הן כל מה שנדרש כדי לעקוף שכבות זיהוי מרובות ומנגנוני הגנה מסורתיים. המחקר שלנו מראה כי אפילו ההגנות העדכניות ביותר הופכות ללא רלוונטיות אל מול המאמץ היצירתי של תוקף להטמין מטען זדוני דרך הערוצים הפנימיים של חלונות". כך לדברי החוקרים.
הכתבה פורסמה במקור באתר Geektime
עוד ב-Geektime:
ניסינו מדחום שלא דורש מגע עם הגוף
מגן מסך חדש מוסיף את מה שחסר באייפון