Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Мировые новости. Обсуждения. (https://forum.antichat.xyz/forumdisplay.php?f=23)
-   -   Программисты рассказали о новом способе взлома Windows (https://forum.antichat.xyz/showthread.php?t=458543)

user100 10.12.2017 12:59
Программисты рассказали о новом способе взлома Windows

Специалисты компании enSilo Тал Либерман и Евгений Коган рассказали о новой технике атак на все версии операционной системы Windows, она называется Process Doppelganging (PD) и остается незамеченной для антивирусов. Об этом они рассказали на конференции Black Hat Europe 2017 в Лондоне, пишет Bleeping Computer.

Метод PD использует механизмы NTFS — стандартной файловой системы для Windows. Вредоносный код PD не сохраняется на диске устройства, поэтому основные антивирусные программы не видят его. Код постоянно находится в оперативной памяти. С помощью PD также можно подменять окна браузера и красть пароли с зараженного устройства. Запущенный код заменяется на вредоносный.

Программисты протестировали вредоносную программу на компьютерах с антивирусами Kaspersky, Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360 и Panda, а также программой Volatility — никто из них не обнаружил PD.

Атаку с помощью этой программы нельзя устранить, поскольку «она использует фундаментальные функции и основной дизайн механизма загрузки процессов в Windows» и не распознается как нарушение процессов работы.

Ранее в «Лаборатории Касперского» заявили, что в 2018 году целями хакеров станут технологические предприятия и разработчики легального программного обеспечения. В компании отметили, что вирусы WannaCry, ExPetr и Bad Rabbit показали, что технологические сети уязвимее, чем корпоративные. Атаки также могут быть на домашние роутеры и модемы, поэтому специалисты советуют сменить заводские пароли и выделить отдельную подсеть для домашних устройств.

artkar 10.12.2017 13:13
Как они умудряются "подменить легитимный файл в контексте транзакции" не представляю. Всегда думал что это невозможно. Если это правда то открываются значительные перспективы для различного ПО

Sun2017 13.12.2017 07:11
Цитата:
Сообщение от None
Код постоянно находится в оперативной памяти.
и сейчас производители ноутбуков сделали так, чтобы оперативная память ноутбуков была почти несъемная для простых пользователей.

Ведь, как известно, чтобы сбросить ОЗУ (RAM, оперативную память) нужно вытащить её из ПК хотя бы на 2-5 минут, и тогда она очистится,

это нужно делать вместе с перепрошивкой биоса одновременно, и очисткой mbr жесткого диска.

После всего этого нужно поставить пароль на bios,

потом только устанавливать операционную систему.

user100 13.12.2017 21:59
Цитата:
Сообщение от artkar
artkar said:

Как они умудряются "подменить легитимный файл в контексте транзакции" не представляю. Всегда думал что это невозможно. Если это правда то открываются значительные перспективы для различного ПО
Вот тут чуть подробнее разобрали метод:

https://habrahabr.ru/post/344376/


Время: 19:09