Wie kann man einen Computer vor dem "Process Doppelgänging" -Angriff schützen und wie erkennt man einen solchen Angriff?

570
and his dog

Es wurde ein neuer Code-Injection-Angriff gemeldet, der als "Process Doppelgänging" bezeichnet wird. Alle Versionen von Windows gelten als anfällig. Der Angriff wurde für alle wichtigen Sicherheitsprodukte als unsichtbar befunden und gilt als unangreifbar.

Wie kann man einen solchen Angriff erkennen und davor schützen?

1
Seien Sie vorsichtig, vernünftiger Umgang mit dem Umgang mit Ihrem Computer und seinen Gewohnheiten !! Ich hoffe, die Forscher arbeiten mit den Anbietern zusammen, um die Informationen offenzulegen, anstatt die Schwachstelle öffentlich zu machen. Ich frage mich, ob es ein Prozess wie `svchost.exe` ist, und Sie können Parameter usw. übergeben, um schädlichen Code einzufügen. Wenn Sie die Besonderheiten der Sicherheitsanfälligkeit nicht kennen, ist es schwer zu sagen, wie Sie die Sicherheit gewährleisten können, anstatt die grundlegenden Sicherheitsmaßnahmen. Wenn es eine Hintertür gibt und der Hersteller dies mit seinem geschlossenen Quellcode weiß, werden Sie diese Hintertüren niemals schlagen, wenn sie nicht gefunden werden. Pimp Juice IT vor 6 Jahren 0
Wenn die großen AVs es nicht finden, haben Sie nicht viel Hoffnung, dies selbst zu tun. Sie müssen warten, bis die betreffenden Produkte behoben sind, oder Windows-Patches für die zugrunde liegende Sicherheitsanfälligkeit in NTFS oder im Loader oder in beiden. Frank Thomas vor 6 Jahren 2

1 Antwort auf die Frage

3
DavidPostill

Wie kann man einen solchen Angriff erkennen und davor schützen?

Momentan ist dieser Angriffsvektor nicht erkennbar, bis die verschiedenen Anbieter von Anti-What-Anbietern ihre Angebote und / oder Microsoft-Patches aktualisieren.

Der einzige sichere Schutz vor diesem Angriff besteht also darin, keine Verbindung zum Internet herzustellen.

Sie können natürlich alle Vorsichtsmaßnahmen treffen, die Sie bereits treffen sollten:

  • Stellen Sie sicher, dass Ihr Betriebssystem und alle Anti-What-Programme vollständig gepatcht und die Definitionen aktualisiert sind

  • Öffnen Sie keine Anhänge, die Sie nicht erwarten oder die von Personen gesendet wurden, die Sie nicht kennen oder denen Sie nicht vertrauen

  • Browsen Sie nur zu vertrauenswürdigen Websites

  • Stellen Sie sicher, dass Sie eine angemessene Sicherungsstrategie haben

  • Erwägen Sie die Installation von Deep Freeze ("Mit Faronics Deep Freeze können Sie sich keine Sorgen mehr um Computerprobleme machen, die durch Besuche böswilliger Websites, versehentliche Änderungen oder ähnliches verursacht werden. Wenn etwas schief geht, starten Sie die Maschine einfach neu und der Computer wird wieder gestartet." seine ursprüngliche Konfiguration. ")

Doppelgänging verarbeiten

Es wurde berichtet, dass:

Process Doppelgänging funktioniert sogar auf der neuesten Version von Windows 10, mit Ausnahme von Windows 10 Redstone und Fall Creators Update, das Anfang des Jahres veröffentlicht wurde.

Der Artikel sagt weiter:

Aufgrund eines anderen Fehlers in Windows 10 Redstone und Fall Creators Update verursacht die Verwendung von Process Doppelgänging BSOD (blauer Bildschirm des Todes), der die Computer der Benutzer abstürzt.

Ironischerweise wurde der Absturzfehler von Microsoft in späteren Updates behoben, sodass Process Doppelgänging auf den neuesten Versionen von Windows 10 ausgeführt werden konnte.

Abhängig davon, welche Patches Sie genau installiert haben, kann es vorkommen, dass ein BSOD vorliegt, anstatt anfällig für den Exploit zu sein.

Quelle Prozess Doppelgänging: Neue Malware Evasion Technik funktioniert auf allen Windows - Versionen

Die guten Nachrichten und die schlechten Nachrichten

Die gute Nachricht ist, dass "es viele technische Herausforderungen gibt", wenn es darum geht, Process Doppelgänging zum Laufen zu bringen, und Angreifer müssen "viele undokumentierte Details zur Prozesserstellung wissen".

Die schlechte Nachricht ist, dass der Angriff nicht gepatcht werden kann, da er grundlegende Funktionen und das Kerndesign des Prozesslademechanismus in Windows ausnutzt.

Quelle "Process Doppelgänging" Angriff funktioniert auf allen Windows-Versionen

Lesen Sie weiter

Leider sind diese "guten Nachrichten" möglicherweise nicht so gut, wenn die NSA oder die CIA bereits Malware-Installationskits entwickelt haben, die diese Sicherheitsanfälligkeit ausnutzen. Diese Sicherheitsanfälligkeit könnte von einigen Übeltätern gestohlen worden sein, wie dies beim EternalBlue-Exploit der Fall war . In einem solchen Fall könnte sogar ein Schulkind Malware auf einem Remote-Computer installieren und muss keine technischen Feinheiten kennen. and his dog vor 6 Jahren 0

Verwandte Probleme