Gefährliche Doppelgänger - Schadsoftsoftware als Windows-Prozess getarnt

Alle aktuellen Windows-Versionen sind anfällig für einen Exploit, der eine eigentliche alte Methode zur Installation von Schadsoftware nutzt. Antiviren-Software hilft nicht.

von Georg Wieselsberger,
08.12.2017 11:01 Uhr

Process Doppelgänging betrifft alle aktuellen Windows-Versionen. (Bildquelle: Blackhat.com)Process Doppelgänging betrifft alle aktuellen Windows-Versionen. (Bildquelle: Blackhat.com)

Die beiden Sicherheitsexperten Eugene Kogan und Tal Liberman haben auf der Konferenz Black Hat Europe vor einer neuen Möglichkeit gewarnt, Windows-Rechner mit Schadsoftware zu infizieren. Die Methode erinnert an eine früher genutzte Angriffsart namens »Process Hollowing«, bei denen die Angreifer den von einem legitimen Programm belegten Speicher quasi von innen aushöhlten, um dort dann eigenen Code zu platzieren und auszuführen. Das eigentliche Programm lief dabei aber augenscheinlich ganz normal weiter.

Prozess-Doppelgänger als Angreifer

Antiviren-Software erkennt diese Art des Angriffs aber schon lange. Doch die Forscher haben nun einen verwandten Angriff entdeckt, den sie »Process Doppelgänging« nennen. Er baut darauf auf, wie neuere Versionen von Windows das Dateisystem NTFS nutzen und Operationen mit ausführbaren Dateien durchführen.

Bei den dabei notwendigen Datei-Operationen können die Forscher eine ausführbare Datei absenden und diese während der Operation teilweise mit Schadcode überschreiben. Danach sorgen sie dafür, dass das NTFS-Dateisystem eine nicht komplett ausgeführte Aktion erkennt und den Vorgang abbricht.

Antiviren-Software erkennt den Angriff nicht

Da es für das NTFS-Dateisystem keine nur teilweise ausgeführten Aktionen gibt, gilt der gesamte Vorgang für das Betriebssystem als nicht durchgeführt und die manipulierte Datei scheint weiterhin dem Original zu entsprechen und wird wiederhergestellt.

Tatsächlich ist es aber möglich, dann die manipulierten Datei aufzurufen und den Schadcode über den ganz normalen Windows-Loader zu starten. Von diesem Problem sind alle Windows Versionen ab Windows Vista bis Windows 10 betroffen und von zwölf bekannten Antiviren-Produkten hat kein einziges diese Art des Angriffs erkannt. Sogar fortgeschrittene forensische Tools lassen sich laut den Forschern so überlisten.

Process Doppelgänging wird nicht erkannt. (Bildquelle: Blackhat.com)Process Doppelgänging wird nicht erkannt. (Bildquelle: Blackhat.com)


Kommentare(34)

Nur angemeldete Benutzer können kommentieren und bewerten.

Sponsored

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen