אינסיילו חושפת "מתקפת דופלגנג" העוקפת לחלוטין פתרונות אנטי וירוס

אינסיילו (enSilo), המציעה פלטפורמה מקיפה להגנה על תחנות קצה, פרסמה מחקר אבטחת סייבר במסגרת BlackHat Europe. המחקר חושף כיצד עברייני רשת מנצלים מאפיינים פנימיים של Microsoft Windows באופן המאפשר לתוכנות כופר ואיומים אחרים לחמוק מהרדאר של רוב תוכנות ההגנה, האנטי וירוסים המובילים בשוק, כמו גם מוצרי אבטחת NGAV (אנטי וירוס הדור הבא) המגינים על מחשבי קצה, שרתים ומכשירים רגישים אחרים בארגונים. 

במחקר "Lost in Transaction: Process Doppelgenging" הציגו חוקרי אינסיילו, יוג'ין קוגן, טל ליברמן ועמרי משגב, כיצד ניתן להסתיר פעילות זדונית עמוק בתוך מערכת ההפעלה באמצעות מניפולציה בדרך בה מערכת חלונות מטפלת בפעולות של קבצים. באמצעות הסוואתן של פעולות זדוניות כתהליכים רגילים ולגיטימיים, קוגן, ליברמן ומשגב מצאו דרך אפקטיבית בה אפילו תוקפים בעלי רמת תחכום נמוכה יחסית יכולים להעניק חיים חדשים לאיומי קוד זדוני שכבר מוכרים היטב לספקי אבטחה.

ברגע שהוסתרו באמצעות "דופלגנגר" (Process Doppelgänging), איומים אלה יכולים לפגוע גם בגרסאות המעודכנות ביותר של מערכת חלונות, אפילו כאשר מופעלים אנטי וירוס ומוצרי  NGAV מעודכנים. איומים אלה יכולים לאחר מכן לבצע מתקפת כופר על קבצים, לאסוף הקשות מקלדת או לגנוב מידע רב ערך. בנוסף לעיוורון של מנגנוני ההגנה המוטמעים במערכת חלונות ושל מוצרי אנטי וירוס ו-NGAV בפני האיומים, Process Doppelgänging מעניק לתוקפים יתרון נוסף בכך שהוא לא מותיר עדויות – בכך, סוג זה של חדירה מקשה מאוד על זיהוי המתקפה בדיעבד באמצעות טכניקות הפורנזיקה העדכניות.

"שיטת ה'דופלגנג' שחשפנו ממנפת מספר מנגנונים מורכבים במערכת ההפעלה של חלונות, ומתבססת על ידע עמוק של הדרך בה פועלים מנועי סריקה של קבצים באנטי וירוסים. שילוב בין כל אלה יוצר הסוואה של הקוד זדוני כקוד לגיטימי, ומאפשר לעקוף את כל מוצרי האבטחה שנבדקו", מסביר ליברמן.

"זו דוגמה נוספת לדרך בה מספר מניפולציות קטנות בקוד, המתבססות על הבנה עמוקה של מערכת ההפעלה, הן כל מה שנדרש כדי לעקוף שכבות זיהוי מרובות ומנגנוני הגנה מסורתיים", אמר קוגן. "המחקר שלנו מראה כי אפילו ההגנות העדכניות ביותר הופכות ללא רלוונטיות אל מול המאמץ היצירתי של תוקף להטמין מטען זדוני דרך הערוצים הפנימיים של מערכת חלונות". 

המחקר של אינסיילו זמין להורדה כאן

אולי יעניין אותך גם

טל חן, שותף במחלקת בנקאות השקעות ומימון תאגידי בDeloitte- ישראל (טל היה בין מובילי הדוח) | קרדיט צילום: אלמוג סוגבקר

Deloitte ישראל: קיטון בהוצאות על מוצרי סייבר יגדיל מיזוגים בענף

גיוסי השקעות בשוויי Down-Round, עשויים לשמש כקטליזטור לרכישות חברות סייבר על ידי חברות בינ"ל