LINUX.ORG.RU
ФорумTalks

Очевидное шерето.

 , , ,


0

2

Все версии Windows уязвимы к новому типу атак. Во время выступления на конференции Black Hat Europe 2017 специалисты по безопасности из компании enSilo рассказали о новом типе атак для персональных компьютеров, получившем название Process Doppelgänging. С помощью вышеупомянутого метода злоумышленники могут обойти практически все популярные антивирусы и получить данные к пользователям всех версий операционной системы Windows.С помощью Process Doppelgänging сотрудникам enSilo удалось обойти защиту антивирусов «Лаборатории Касперского», Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360, Panda и Volatility (используется киберкриминалистами) на компьютерах с Windows 10, 8.1 и 7 SP1. Process Doppelgänging напоминает известную атаку Process Hollowing. В её основе лежит создание нового легитимного процесса и последующая подмена безопасного кода вредоносным. Но метод Process Hollowing уже давно изучен, поэтому большинство антивирусов способны его обнаружить. В enSilo модифицировали атаку, чтобы её было сложнее выявить. Process Doppelgänging использует транзакции NTFS для изменения легитимных файлов и выполнения вредоносного кода. Последний даже не попадает на накопитель компьютера, а значит и обнаружить его крайне сложно. Плохая новость заключается в том, что патчами защитить систему от этой уязвимости невозможно, так как она использует фундаментальные механизмы и функции работы Windows.

Источник https://4pda.ru/2017/12/09/348531/

https://thehackernews.com/2017/12/malware-process-doppelganging.html

ЗЫ: вовремя я укатился на лялих.

★★★★★

Последнее исправление: cetjs2 (всего исправлений: 1)

защитить систему от этой уязвимости невозможно, так как она использует фундаментальные механизмы и функции работы Windows

нахрена тогда тесты с антивирусами?

system-root ★★★★★
()
Ответ на: комментарий от Deleted

Хм, ну от именно этой проблемы спасет точно.

А какие есть риски именно на GNU/Linux в сфере вирусов? Их же до сих пор патчить нужно, если не ошибаюсь.

Vsevolod-linuxoid ★★★★★
()

Правильно я понял что используя, и имея права на создание новых процессов, можно выполнить произвольный код с привилегиями текущего пользователя? Это теперь считается уязвимостью?

MrClon ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

В моем конкретном случае, да. Но это так, основная суть в том, что ничего не лезет в интернет без меня, я уже задолбался кастрировать винду 10 и отключать кучу всякого мусора.

karton1 ★★★★★
() автор топика
Ответ на: комментарий от system-root

Что бы упредить вопросы вида «а %antivirus_name% от этого спасает?»
Ну и вообще, круто ведь написать «Наша новая local DoS атака „кувалдой по системнику“ обходит защиту…» и далее список всех названий антивирусов которые сможешь нагуглить

MrClon ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

А какие есть риски именно на GNU/Linux в сфере вирусов?

Точно такие же, как и на Шindows. С поправкой на то, что десктопный линукс никому не сдался пока, отсюда и отсутствие эпидемий.

Deleted
()
Ответ на: комментарий от karton1

Справедливости ради, на той же Ubuntu тоже много чего лезет. Но не столь оголтело, как в вынь10, конечно.

Vsevolod-linuxoid ★★★★★
()
Ответ на: комментарий от MrClon

ну реально, если это правда, то выглядит всё ровно как британские белки истерички.
учёные доказали, что ни один антивирус не может противодействовать попаданию 30мм снаряда в системник с пяти шагов.

system-root ★★★★★
()
Ответ на: комментарий от system-root

I don't expect Microsoft to rush for an emergency patch that could make some software relying on older implementations unstable, but Antivirus companies can upgrade their products to detect malicious programs using Process Doppelgänging or similar attacks.

переводится как: yazaban с удалением всех сообщений регистранта при использовании 4pda как источника новостей про винду на лоре.

system-root ★★★★★
()
Ответ на: комментарий от system-root

это ОФИГИТЕЛЬНО хороший эксплоит

представь, что ты в корпоративной сети, и не можешь делать какие-то действия. Например, копировать данные на флешку

и это энфорсится через Symantec Endpoint Protection или что-то такое

с этим полезным эксплоитом ты сможешь положить большой толстый болт на копоративных администраторов с их политиками безопасности

stevejobs ★★★★☆
()
Ответ на: комментарий от system-root

а что с 4pda новости не катят? не подумайте что защищаю их - меня эти гниды забанили, за то что я amd_amd - прислали мне уведомление в личку что по новым правилам сайта у меня должно быть чуть ли не полное фио логином и сроку на переименование 3 дня, я им тут же отписал - пусть выкусят, у меня везде такой логин что бы не запутаться - мне сразу бан влепили 3-х дней ждать не стали, поражняковый сайт для мобильных устройст - я там на форуме линукс прославлял, попутно агитируя выкинуть весь свой мобильный фуфляк - накупить сундуков и зажить по человечески, ну забанили так забанили - я никогда не перелогиниваюсь это признание своего поражения - необходимость обманывать выдавая себя за другого, такое не для меня - в сети полно сайтов где можно поразжегать...

amd_amd ★★★★★
()
Ответ на: комментарий от amd_amd

Они конечно гниды, но новости не смотря на желтые заголовки и тонны рекламы, все же постят. Но уроды, да, году так в 20011 все было по другому.

karton1 ★★★★★
() автор топика
Ответ на: комментарий от stevejobs

смотрел в фильме про Сноудена он скопировал вообще без всяких эксплоитов.
в таких корпорациях ты конечно сдаёшь телефон и все флешки охране, рискуешь пожизненным или 25 лет за попытку положить большой толстый болт.
ну т.е. супер много уровней защиты которые довольно чувствительны, это не волчий билет с увольнением, это блин сломанная жизнь
но находится особо одарённый который всё равно это сделает.
мне кажется, лишний эксплоит таким индивидам их деятельность не упростит, только всяким криптолокерам да майнерам.

system-root ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

По идее он не помешает выполнить произвольный код, он помешает этому произвольному коду выполнить некоторые действия

MrClon ★★★★★
()
Ответ на: комментарий от system-root

в таких корпорациях ты конечно сдаёшь телефон и все флешки охране, рискуешь пожизненным или 25 лет за попытку положить большой толстый болт.

Расстрелом на месте, да.

tailgunner ★★★★★
()
Ответ на: комментарий от amd_amd

а что с 4pda новости не катят?

они берут источник, переводят и в конце пишут отсебятину из за которой я вообще написал первый пост в этом треде.
прочёл оригинал, привёл цитату из него. там нет бреда про «невозможно», «фундаментально». это выдумки рерайтеров и их «продающего текста за 400р»

Плохая новость заключается в том, что патчами защитить систему от этой уязвимости невозможно, так как она использует фундаментальные механизмы и функции работы Windows.

system-root ★★★★★
()
Ответ на: комментарий от system-root

понятно - новость недостоверная и линукс они козлы не уважают, я еще тогда на арче ехал...

amd_amd ★★★★★
()
Ответ на: комментарий от tailgunner

Расстрелом на месте, да.

лично я такие места не посещаю, для этого куратор и нужен.
но вполне возможно, что охрана может применить любые средства для задержания.

system-root ★★★★★
()
Последнее исправление: system-root (всего исправлений: 1)
Ответ на: комментарий от MrClon

Здесь смысл в том, что антивирусы на винде уже давно не просто чекалки сигнатур, а мощные HIPS-ы. Которые контролируют почти все.
Но вот нужно разрешать некоторым доверенным процессам опасные действия (например, запись в память другого процесса).
Предыдущий метод (Process Hollowing), как я понял - это что-то вроде «запускаем доверенный процесс и инжектим свой код в него. Это быстро начали ловить и все заглохло.
А сейчас нашелся способ не палиться с записью/инжектом в доверенный процесс.
Т.е. какие-то архитектурные решения в NTFS напрочь лишают возможности отследить запуск своего кода в чужом процессе.

Kuzz ★★★
()
Ответ на: комментарий от stevejobs

Это если в системе есть прога, которой таки разрешено писать на флешку.
Тогда да, запустив ее и закинув в этот процесс свой код копирования можно обойти защиту.

Kuzz ★★★
()

ЗЫ: вовремя я укатился на лялих.

Подтверждаю вышеотписавшихся. Лялих - это видимость спокойствия и защиты....

xwicked ★★☆
()
Ответ на: комментарий от xwicked

Лялих - это видимость спокойствия и защиты.

закрой порты, тяни пакеты с офреп и не выполняй в терминале команд - которые тебе советуют незнакомые люди, не используй готовых решений в виде мусорных DE - собери систему сам из репозиториев на основе базовой части, никакой атоматизации - оставить даже startx, обновление update\upgrade\dist-upgrade - выполнять собственоручно из терминала с приминением su, sudo, su-to-root, gksu и прочими мерами личной безопасности... в общем полностью контролируй процесс, а не бездумно клацай мышкой пока на заднем фоне в доверенный процесс пишется код...

amd_amd ★★★★★
()

Всё правильно. Windows Must Die!

P.S.: Ух. Аж 2007 год вспомнился)

th3m3 ★★★★★
()

Антивирусы были фуфлом и десять лет назад, а сливать пользовательские данные и визжать что на веб странице обезврежен вирус этот Process Doppelgänging не мешает.

wxw ★★★★★
()
Ответ на: комментарий от karton1

году так в 20011 все было по другому.

Марс освоили уже, товарищи потомки?

Tigger ★★★★★
()

кликбейт какой-то, сливать воду пока рано

Valeg ★★★
()

после msblast ничего смешного не выходило

и если бы msblast не в ребут компы отправлял, а чего повнушительнее - жили бы, небось, уже в мире победившего вендекапца

buratino ★★★★★
()
Ответ на: комментарий от system-root

Показать их полезность и секьюрность, очевидно же.

peregrine ★★★★★
()
Ответ на: комментарий от Deleted

Немного не такие. Бывает даже нормальный код не хочет собираться и работать, т.к. Linux собран не с теми флагами и библиотеками.

peregrine ★★★★★
()
Ответ на: комментарий от system-root

Везде можно стырить данные, главный вопрос, сколько придется для этого сделать.

peregrine ★★★★★
()
Ответ на: комментарий от amd_amd

А ты знаешь, что у тебя до загрузки всё ушло и взято под контроль, так как даже фряха в UEFI грузится как kernel.exe? Просто как очевидный пример. Собери лапшу с ушей. :D

xwicked ★★☆
()
Последнее исправление: xwicked (всего исправлений: 1)
Ответ на: комментарий от system-root

последние N лет работы я постоянно так делал. Просто потому, что это удобно. А безопасники с их протоколами пусть нафиг идут

stevejobs ★★★★☆
()
Ответ на: комментарий от Vsevolod-linuxoid

Пока линукс на столько крив и кос, что на десктопах не перевалил за 1%, его охраняет Неуловимый Джо.

Reset ★★★★★
()
Ответ на: комментарий от Suigintou

несколько аргументов:

- обычно в офисах все покрыто непрерывным наблюдением с помощью камер. Лезть в корпус - мегапалево

- физически корпуса обычно защищают - внутри делают очень простую защиту из проводов-пломб, подключенных к копеечной коробочке. Вскрыть корпус черезвычайно трудно, не запалившись перед камерами

- на BIOS обычно стоит пароль, плюс выключена аппаратная виртуализация и другие опасные фичи

очень тяжело и печально работать в офисе крупных организаций(( Для войны с админами приходится коммититься на самые адовые методы атаки

stevejobs ★★★★☆
()

такое себе шерето. вернее даже это не уязвимость вовсе.

Deleted
()

Антивирусы какие-то... А чо, верхнего мозга нет, да?

targitaj ★★★★★
()
Ответ на: комментарий от stevejobs

- обычно в офисах все покрыто непрерывным наблюдением с помощью камер.

Этого одного уже достаточно. Валить туда, где не покрыто.

Suigintou ★★★★★
()

О боже, и здесь этот бред. Не Windows уязвима, а антивирусы не знают про такой способ запуска программ.

bbk123 ★★★★★
()
Ответ на: комментарий от x3al

ну щас ты услышишь брейкин ньюс, что он уже установлен у тебя на компе и работает. и у всех линуксоидов тоже.

darkenshvein ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.