Process Doppelgänging Attack
Process Doppelgänging Attack (атака процесса Доппельгангер) является новым методом злоумышленников для обхода защиты операционных систем. Этот тип атаки позволяет скрыть вредоносную программу внутри доверенного процесса, что делает ее невидимой для антивирусных программ и других средств защиты.
Принцип атаки заключается в создании копии уже запущенного процесса и подмене его атакующим кодом. Это возможно благодаря использованию механизма транзакций файловой системы NTFS, который позволяет функции NtCreateTransaction создавать и работать с транзакциями файловой системы.
Злоумышленники используют этот механизм для создания транзакций с особыми параметрами и заставляют операционную систему загрузить вредоносную программу вместо доверенного процесса. Этот метод атаки не требует повышенных прав и не оставляет следов в системном журнале, что делает его очень эффективным и опасным.
Для защиты от атак процесса Доппельгангер необходимо использовать надежные средства защиты, а также следить за обновлениями операционных систем и программного обеспечения. Также стоит избегать ненадежных исходных кодов и подозрительных исполняемых файлов.