มีวิธีใดที่จะปกป้องคอมพิวเตอร์จากการโจมตีแบบ“ Process Doppelgänging” และวิธีการตรวจจับการโจมตีดังกล่าว


1

มีรายงานการโจมตีการฉีดโค้ดใหม่ที่เรียกว่า "Process Doppelgänging" Windows ทุกรุ่นถูกกล่าวว่ามีช่องโหว่ พบการโจมตีที่มองไม่เห็นกับผลิตภัณฑ์ด้านความปลอดภัยที่สำคัญทั้งหมดและถูกกล่าวว่าไม่สามารถจับคู่ได้

วิธีการหนึ่งสามารถตรวจจับการโจมตีดังกล่าวและปกป้องจากมันได้หรือไม่


ใช้ความระมัดระวังสามัญสำนึกกับการใช้คอมพิวเตอร์และนิสัยของคุณ !! หวังว่านักวิจัยจะทำงานร่วมกับผู้ขายเพื่อเปิดเผยข้อมูลมากกว่าที่จะเปิดเผยต่อสาธารณะเพื่อแก้ไขช่องโหว่ สงสัยว่าเป็นกระบวนการที่ชอบหรือไม่svchost.exeและคุณสามารถส่งพารามิเตอร์ ฯลฯ เพื่อฉีดโค้ดที่เป็นอันตราย ยากที่จะบอกว่าจะรักษาความปลอดภัยได้อย่างไรมากกว่าการรักษาความปลอดภัยขั้นพื้นฐาน 101 หากมีแบ็คดอร์และผู้จำหน่ายรู้เกี่ยวกับมันด้วยซอร์สโค้ดที่ปิดแล้วคุณจะไม่ชนะแบ็คดอร์เหล่านั้นโดยไม่คำนึงถึงเว้นแต่จะพบ
Pimp Juice IT

2
หาก AV ที่สำคัญไม่สามารถหาได้แสดงว่าคุณไม่มีความหวังมากในการทำเช่นนั้น คุณจะต้องรอจนกว่าพวกเขาจะแก้ไขผลิตภัณฑ์ของพวกเขาหรือ windows จะแก้ไขช่องโหว่พื้นฐานใน NTFS หรือใน Loader หรือทั้งสองอย่าง
Frank Thomas

คำตอบ:


3

วิธีการหนึ่งสามารถตรวจจับการโจมตีดังกล่าวและปกป้องจากมันได้หรือไม่

ในตอนนี้เวกเตอร์การโจมตีนี้ไม่สามารถตรวจพบได้จนกว่าผู้ค้าต่อต้านสิ่งต่างๆจะอัพเกรดข้อเสนอและ / หรือ Microsoft ออกแพทช์

ดังนั้นเพียงบางวิธีการป้องกันจากการโจมตีครั้งนี้คือการไม่เชื่อมต่อกับอินเทอร์เน็ต

แน่นอนคุณสามารถใช้มาตรการป้องกันทั้งหมดที่คุณควรทำแล้ว:

  • ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการของคุณและโปรแกรมต่อต้านสิ่งใดก็ตามได้รับการปะแก้อย่างสมบูรณ์และได้รับการปรับปรุงคำจำกัดความ

  • อย่าเปิดไฟล์แนบใด ๆ ที่คุณไม่ได้คาดหวังหรือถูกส่งมาจากคนที่คุณไม่รู้จักหรือเชื่อถือ

  • เรียกดูเว็บไซต์ที่เชื่อถือได้เท่านั้น

  • ให้แน่ใจว่าคุณมีกลยุทธ์การสำรองข้อมูลที่เพียงพอ

  • พิจารณาการติดตั้งบางอย่างเช่นDeep Freeze ("ด้วย Faronics Deep Freeze คุณสามารถหยุดกังวลเกี่ยวกับปัญหาคอมพิวเตอร์ที่เกิดจากการเข้าชมเว็บไซต์ที่เป็นอันตรายการเปลี่ยนแปลงโดยไม่ตั้งใจหรือสิ่งอื่น ๆ เมื่อสิ่งผิดพลาดเพียงรีบูตเครื่องและมันจะถูกส่งกลับไป การกำหนดค่าเริ่มต้นดั้งเดิมของมัน ")


การประมวลผลกระบวนการ

มีรายงานว่า:

Process Doppelgängingทำงานได้แม้กระทั่ง Windows 10 เวอร์ชันล่าสุดยกเว้น Windows 10 Redstone และ Fall Builders Update ซึ่งวางจำหน่ายเมื่อต้นปี

บทความกล่าวต่อไปว่า:

แต่เนื่องจากข้อผิดพลาดที่แตกต่างกันใน Windows 10 Redstone และ Fall Builders Update การใช้ Process Doppelgängingทำให้ BSOD (หน้าจอสีน้ำเงินแห่งความตาย) ซึ่งทำให้คอมพิวเตอร์ของผู้ใช้ล่ม

กระแทกแดกดันข้อผิดพลาดความผิดพลาดได้รับการแก้ไขโดย Microsoft ในการปรับปรุงในภายหลังช่วยให้กระบวนการDoppelgängingทำงานบน Windows 10 รุ่นล่าสุด

ดังนั้นขึ้นอยู่กับแพทช์ที่คุณติดตั้งคุณอาจพบ BSOD แทนที่จะเสี่ยงต่อการถูกเอารัดเอาเปรียบ

กระบวนการที่มาขั้นตอนการทำ: เทคนิคการหลบหลีกมัลแวร์ใหม่ทำงานได้กับ Windows ทุกรุ่น

ข่าวดีและข่าวร้าย

ข่าวดีก็คือว่า "มีความท้าทายทางเทคนิคมากมาย" ในการทำให้กระบวนการของDoppelgängingและผู้โจมตีจำเป็นต้องรู้ "รายละเอียดที่ไม่มีเอกสารจำนวนมากเกี่ยวกับการสร้างกระบวนการ"

ข่าวร้ายคือการโจมตี "ไม่สามารถแก้ไขได้เนื่องจากใช้ประโยชน์จากคุณสมบัติพื้นฐานและการออกแบบหลักของกลไกการโหลดกระบวนการใน Windows"

Source "Process Doppelgänging" Attack ทำงานได้กับทุกเวอร์ชั่นของ Windows


อ่านเพิ่มเติม


น่าเสียดายที่ "ข่าวดี" เหล่านั้นอาจไม่ดีนักถ้า NSA หรือ CIA ได้พัฒนาชุดติดตั้งมัลแวร์บางตัวที่ใช้ประโยชน์จากช่องโหว่นี้ซึ่งอาจถูกขโมยโดยผู้กระทำผิดบางรายเหมือนในกรณีของการเอาเปรียบ EternalBlue . ในกรณีเช่นนี้แม้แต่เด็กนักเรียนก็สามารถติดตั้งมัลแวร์บนคอมพิวเตอร์ระยะไกลได้โดยไม่จำเป็นต้องรู้ความซับซ้อนทางเทคนิคใด ๆ
และสุนัขของเขา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.