Еще в 2017 году специалисты компании enSilo выступили на конференции Black Hat Europe с докладом, в котором рассказали о новой технике атак, получившей название Process Doppelgänging. Такие атаки работают против всех версий Windows и позволяют обмануть большинство современных антивирусов, выполнив вредоносный код прямо у них «под носом».
Схема работы Process Doppelgänging похожа на другую, давно известную технику атак, которая называется Process Hollowing. Данная методика внедрения кода предполагает создание нового экземпляра легитимного процесса и последующую подмену легитимного кода вредоносным. Так как о существовании Process Hollowing известно давно, большинство защитных решений успешно обнаруживают и пресекают подобные манипуляции.
Но специалисты enSilo решили развить эту идею дальше, и создали атаку, которая позволяет более эффективно скрывать малварь от антивирусов в контексте легитимных процессов. Process Doppelgänging предполагает использование транзакций NTFS (TxF), что позволяет модифицировать легитимный файл в контексте транзакции, а затем выполнять вредоносный код, который в итоге вообще не попадает на диск (атака получается бесфайловой).
Спустя всего несколько месяцев после публикации данного исследования, обнаружилось, что вымогатель SynAck взял технику Process Doppelgänging на вооружение, а вслед за ним эту технику атак использовал банкер Osiris (в сочетании с Process Hollowing).
Но, как выясняется теперь, SynAck и Osiris были отнюдь не единственными вредоносами, адаптировавшими Process Doppelgänging под свои нужды. Эксперты enSilo сообщают, что в гибридную реализацию придуманной ими техники атак используют загрузчики более чем 20 семейств малвари, включая FormBook, LokiBot, SmokeLoader, AZORult, NetWire, njRat, Pony Stealer и GandCrab.
Изучив сотни образцов вредоносного ПО, исследователи обнаружили, по меньшей мере, семь разных версий загрузчика TxHollower, который используют авторы самой разной малвари. «Злоумышленники, как известно, нередко повторно используют разные ресурсы и инструменты в своих цепочках атак, и чаще всего, это дропперы, упаковщики и загрузчики», — объясняют исследователи.
Аналитики полагают, что TxHollower доступен преступникам в составе некоего фреймворка или набора эксплоитов, что в итоге и привело к росту популярности Process Doppelgänging. Самый ранний образец загрузчика с функцией TxHollower датирован мартом 2018 года и использовался для распространения Netwire RAT. Затем этот загрузчик был обнаружен в комплекте с несколькими версиями вымогателя GandCrab, начиная с v5 и вплоть до v5.2.
«Хотя мы не наблюдали фактических заражений, нам удалось обнаружить несколько образцов, которые, как мы подозреваем, были связаны с цепочками атак, использовавшими загрузчики и дропперы с TxHollower. Среди обнаруженных типов файлов были исполняемые PE, JavaScript и различные документы», — гласит новый отчет enSilo.
