מתקפות ”דופלגנג” חדשות יכולות לעקוף את האנטי וירוס שלכם

חוקרים מזהירים מפני מתקפה חדשה ומסוכנת שמתחזה לתהליכים לגיטימיים ויוצרת איומים חדשים על המחשבים שלכם

Cyber attack

תמונה: Donat Sorokin, Gettyimages Israel

ככל שעובר הזמן והטכנולוגיה מתפתחת, כך גם איומי האבטחה. הם הופכים להיות יותר מתוחכמים ויותר הרסניים. חברות האנטי וירוס השונות נאבקות בניסיון לבלום מתקפות, אך נראה שסוג חדש של מנגנון אשר מדווח במחקר שערכה חברת אינסיילו (enSilo), מאפשר למתקפות שונות לחמוק מתחת לראדר של תוכנות האנטי וירוס.

המתקפה מתחזה לתהליך מוכר למערכת – ועוקפת אותה בלי שהיא יודעת

במחקר שערכו טל ליברמן (ראש צוות המחקר), יוג’ין קוגן (מהנדס תוכנה) ועמרי משגב (חוקר אבטחה), הוכיחה החברה כי באמצעות הסוואה של פעולות זדוניות כתהליכים רגילים של מערכת ההפעלה, מתייחסת Windows לתהליך המתחזה כלגיטימי ומאפשרת לפירצות האבטחה לעקוף את כל מנגנוני האבטחה. ברגע שתהליך הדופלגנג נכנס לשימוש, האקרים יכולים להחיות גם קודים זדוניים אשר מערכות הגנה שונות יודעות לזהות ולעצור, כאשר הפעם המערכות השונות לא ידעו כיצד להתמודד איתן. יתרון נוסף שהתוקפים מקבלים משימוש בתהליך אשר מכונה “Process Doppelgänging” הוא שהתהליך לא משאיר עדויות, ובכך מקשה על זיהוי המתקפה ומקורה.

לאחר מתקפה מוצלחת באמצעות התהליך המדובר, יכולים החוקרים להפעיל מתקפות כופר, Keylogging או גניבת מידע. אינסיילו מציינת כי מערכת האבטחה שלה אכן יודעת להתמודד עם האיום, ויודעת לזהות ולמנוע גם מתקפות מסוג זה. כמו כן, תספק לחברות אבטחה אחרות תוכנת בדיקה שכתבה אשר תדמה מתקפה מוכרת במבנה המוכר שלה, ולאחריה מתקפה מוכרת בתהליך הדופלגנג. זאת בכדי לסייע להן לבנות כלים שיתמודדו עם שיטה זו.

“שיטת ה’דופלגנג’ שחשפנו ממנפת מספר מנגנונים מורכבים במערכת ההפעלה של חלונות, ומתבססת על ידע עמוק של הדרך בה פועלים מנועי סריקה של קבצים באנטי וירוסים. שילוב בין כל אלה יוצר הסוואה של הקוד זדוני כקוד לגיטימי, ומאפשר לעקוף את כל מוצרי האבטחה שנבדקו”, מסביר אחד החוקרים שגילו את המנגנון החדש. “זו דוגמה נוספת לדרך בה מספר מניפולציות קטנות בקוד, המתבססות על הבנה עמוקה של מערכת ההפעלה, הן כל מה שנדרש כדי לעקוף שכבות זיהוי מרובות ומנגנוני הגנה מסורתיים. המחקר שלנו מראה כי אפילו ההגנות העדכניות ביותר הופכות ללא רלוונטיות אל מול המאמץ היצירתי של תוקף להטמין מטען זדוני דרך הערוצים הפנימיים של מערכת חלונות”. כך לדברי החוקרים.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

8 תגובות על "מתקפות ”דופלגנג” חדשות יכולות לעקוף את האנטי וירוס שלכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אריה
Guest

זה לא משהו חדש, זה ידוע שווינדוס מזהה תהליכים כתהליכי מערכת רק לפי השם שלהם וזה מפגר… כמו כל המערכת הפעלה הזו… מה קשה להם לזהות את התהליכי מערכת לפי md5 של הקובץ exe??? אצל מייקרוסופט רווח כספי ושקט מן המשתמש הממוצע בא הרבה לפני אבטחה וויעילות…

Reply
Guest

אני בעד שתייצר מערכת הפעלה מתחרה.

חהין זועבי
Guest

md5 נפרץ מזמן

mishu2
Guest

אני הייתי בטוח שווינדוס 10 מזהה תהליכים על פי HASH שלהם…. זה לא ככה??

ןחןחן
Guest

פשוט מדהים כמה אין לכם מושג על מה אתם מדברים

אריה
Guest

מי שסומך עדיין רק על האנטי וירוס, אז שיהיה לו בהצלחה..

דייב
Guest

על מה אתה סומך?

דניאל
Guest

על עצמנו.
אל תתקין ואל תריץ שום דבר שאתה לא מכיר ובטוח בו במאת האחוזים.

wpDiscuz

תגיות לכתבה: