Die beiden Sicherheitsexperten Eugene Kogan und Tal Liberman haben auf der Konferenz Black Hat Europe vor einer neuen Möglichkeit gewarnt, Windows-Rechner mit Schadsoftware zu infizieren. Die Methode erinnert an eine früher genutzte Angriffsart namens »Process Hollowing«, bei denen die Angreifer den von einem legitimen Programm belegten Speicher quasi von innen aushöhlten, um dort dann eigenen Code zu platzieren und auszuführen. Das eigentliche Programm lief dabei aber augenscheinlich ganz normal weiter.
Prozess-Doppelgänger als Angreifer
Antiviren-Software erkennt diese Art des Angriffs aber schon lange. Doch die Forscher haben nun einen verwandten Angriff entdeckt, den sie »Process Doppelgänging« nennen. Er baut darauf auf, wie neuere Versionen von Windows das Dateisystem NTFS nutzen und Operationen mit ausführbaren Dateien durchführen.
Bei den dabei notwendigen Datei-Operationen können die Forscher eine ausführbare Datei absenden und diese während der Operation teilweise mit Schadcode überschreiben. Danach sorgen sie dafür, dass das NTFS-Dateisystem eine nicht komplett ausgeführte Aktion erkennt und den Vorgang abbricht.
Antiviren-Software erkennt den Angriff nicht
Da es für das NTFS-Dateisystem keine nur teilweise ausgeführten Aktionen gibt, gilt der gesamte Vorgang für das Betriebssystem als nicht durchgeführt und die manipulierte Datei scheint weiterhin dem Original zu entsprechen und wird wiederhergestellt.
Tatsächlich ist es aber möglich, dann die manipulierten Datei aufzurufen und den Schadcode über den ganz normalen Windows-Loader zu starten. Von diesem Problem sind alle Windows Versionen ab Windows Vista bis Windows 10 betroffen und von zwölf bekannten Antiviren-Produkten hat kein einziges diese Art des Angriffs erkannt. Sogar fortgeschrittene forensische Tools lassen sich laut den Forschern so überlisten.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.