Une nouvelle faille permet aux virus de contourner l’antivirus et d’infecter n’importe quel Windows
Nous commencerons par dire qu’une équipe de chercheurs en sécurité a découvert une nouvelle technique d’évasion des logiciels malveillants qui pourrait aider les créateurs de codes malveillants à «contourner» la plupart des solutions antivirus actuelles sur les systèmes Windows.
Il est devenu connu sous le nom de processus Doppelgänging et est une nouvelle technique qui tire parti d’une fonction Windows et du chargeur de processus sur le même système. Ainsi, les chercheurs en sécurité qui l’ont découvert viennent de présenter leurs résultats lors de la conférence sur la sécurité Black Hat 2017 à Londres . En principe, le processus appelé Doppelgänging fonctionne dans toutes les dernières versions de Windows, en particulier de Windows Vista à la dernière version, Windows 10.
Tal Liberman, chef de l’équipe de recherche, affirme que cette technique de contournement des logiciels malveillants est similaire à «Process Hollowing», une méthode découverte il y a quelques années et utilisée par les attaquants pour «vaincre» les produits de sécurité . Dans cette méthode, les attaquants remplacent la mémoire d’un processus légitime par un code malveillant afin qu’il s’exécute à la place de l’original, trompant ainsi les antivirus et les outils d’analyse des processus , et «pensant» que le processus d’origine est celui en cours d’exécution.
Étant donné que toutes les suites antivirus et de sécurité ont déjà été mises à jour pour détecter les attaques Process Hollowing susmentionnées , l’utilisation de cette technique est maintenant derrière nous. Cependant, le processus Doppelgänging actuel est une approche totalement différente pour y parvenir, car il utilise « Windows NTFS Transactions » et une implémentation obsolète du gestionnaire de processus système de Microsoft qui a été initialement conçu pour Windows XP , mais qui contient toutes les versions ultérieures de le logiciel à ce jour.
Comment fonctionne cette nouvelle attaque pour Windows
Dire que NTFS Transaction est une fonction Windows qui vous permet de créer, modifier, renommer et supprimer des fichiers et des répertoires sur ces partitions , ce qui donne également aux développeurs d’applications la possibilité de créer correctement des routines de sortie. Ainsi, cette attaque traite d’abord un exécutable légitime, puis l’écrase par un fichier malveillant. Après cela, il crée une section de mémoire à partir du fichier malveillant et supprime toutes les modifications apportées à l’exécutable légitime.
L’implémentation déjà obsolète de Windows est ensuite utilisée pour créer un processus avec la section de mémoire précédemment générée, qui est en fait celle qui contient le code malveillant et le rend ainsi invisible pour la plupart des outils de sécurité actuels. En fait, au cours de l’enquête, l’attaque contre la plupart des antivirus tels que Windows Defender , Kaspersky Labs , ESET NOD32 , Symantec , Trend Micro , Avast , McAfee, AVG ou Panda a été testée , avec des résultats négatifs, c’est-à-dire qu’ils tous.
Doppelgänging fonctionne même dans les dernières versions de Windows 10, à l’exception de Fall Creators Update , où l’utilisation de Process Doppelgänging conduit à un écran bleu qui plante les PC .
