![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\")
Ein Team von Sicherheitsforschern hat eine neue Technik entdeckt, die Malware erm\u00f6glicht, die meisten modernen Antivirenl\u00f6sungen und forensischen Tools zu \u00fcberlisten. Damit k\u00f6nnte dateilose Malware auf allen Windows-Versionen unter dem Radar von Virenscannern hindurch schl\u00fcpfen. <\/p>\n
<\/p>\n
In der Blackhat-Ank\u00fcndigung<\/a> wird erw\u00e4hnt, dass der Angriff \u00e4hnlich wie die seit Jahren bekannte Process Hollowing-Technik arbeitet. Diese versucht mit bestimmten Ans\u00e4tzen die Erkennung der Malware durch Sicherheitsprodukte zu unterlaufen. <\/p>\n Bei einer Process Hollowing-Attacke ersetzen Hacker Teile des Speicher eines legitimen Prozesses durch den b\u00f6sartigen Code. So kann dieser b\u00f6sartige Code anstelle der urspr\u00fcnglichen Codes ausgef\u00fchrt werden. Prozess\u00fcberwachungswerkzeuge und Antivirenprogramme glauben, dass noch der urspr\u00fcngliche Prozess ausgef\u00fchrt wird.<\/p>\n Da alle modernen Antiviren- und Sicherheitsprodukte aktualisiert wurden, um Process Hollowing-Angriffe zu erkennen, ist die Verwendung dieser Technik f\u00fcr Malware-Autoren stumpf geworden. <\/p>\n Process Doppelg\u00e4nging versucht zwar das Gleiche zu erreichen, verwendet jedoch einen v\u00f6llig anderen Ansatz. Dazu werden Windows NTFS-Transaktionen<\/a> und eine veraltete Implementierung des Windows Process Loader, missbraucht. NTFS-Transaktionen wurden urspr\u00fcnglich f\u00fcr Windows XP entwickelt, sind aber in allen sp\u00e4teren Versionen von Windows aus Kompatibilit\u00e4tsgr\u00fcnden noch dabei. <\/p>\n NTFS-Transaktion ist eine Funktion von Windows, die das Konzept der atomaren Transaktionen in das NTFS-Dateisystem bringt und es erm\u00f6glicht, Dateien und Verzeichnisse atomar zu erstellen, zu modifizieren, umzubenennen und zu l\u00f6schen.<\/p>\n NTFS-Transaktion erm\u00f6glichen es, Windows-Anwendungsentwicklern Dateiausgaberoutinen zu schreiben, die garantiert entweder vollst\u00e4ndig erfolgreich sind oder vollst\u00e4ndig fehlschlagen.<\/p>\n Wie k\u00f6nnte ein Angreifer Windows NTFS-Transaktion nutzen, um Schadcode auszuf\u00fchren? Die Sicherheitsforscher skizzieren einen dateilosen Angriff mit Process Doppelg\u00e4nging, der in vier gro\u00dfen Schritten arbeitet:<\/p>\n Durch den letzten Schritt wird der Schadcode, der nie auf der Festplatte gespeichert wurde, ausgef\u00fchrt, ist aber f\u00fcr moderne Virenscanner unsichtbar. <\/p>\n Offensichtlich funktioniert eine Process Doppelg\u00e4nging-Attacke auf allen modernen Versionen des Microsoft Windows Betriebssystems, angefangen von Windows Vista bis hin zur neuesten Version von Windows 10. Die Sicherheitsforscher haben folgende \u00dcbersicht ver\u00f6ffentlicht. <\/p>\n Diese zeigt, dass praktisch alle aktuellen Sicherheitsl\u00f6sungen f\u00fcr eine Process Doppelg\u00e4nging-Attacke blind sind. Allerdings hat Microsoft damit begonnen, soweit ich die Vortragsfolien verstanden habe, diese Angriffsmethode in Windows 10 Redstone zu blocken. Die Folien des Vortrags mit den technischen Details sind hier<\/a> als PDF-Datei abrufbar. Englischsprachige Artikel mit finden sich bei The Hacker News<\/a> und Bleeping Computer<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Ein Team von Sicherheitsforschern hat eine neue Technik entdeckt, die Malware erm\u00f6glicht, die meisten modernen Antivirenl\u00f6sungen und forensischen Tools zu \u00fcberlisten. Damit k\u00f6nnte dateilose Malware auf allen Windows-Versionen unter dem Radar von Virenscannern hindurch schl\u00fcpfen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[1018,4328,4325],"class_list":["post-198458","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-malware","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198458","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=198458"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198458\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=198458"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=198458"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=198458"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die Methode wurde gerade von den Sicherheitsspezialisten Tal Liberman<\/a> und Eugene Kogan von eSilo auf der Blackhat-Konferenz in London vorgestellt<\/a>. Die Process Doppelg\u00e4nging getaufte Technik der dateilosen Code-Injektion nutzt die Vorteile einer Windows-Funktion und einer undokumentierten Implementierung des Windows Process Loaders. <\/p>\n
Die alte Process Hollowing neu gedacht<\/h2>\n
Wie der Angriff funktioniert<\/h2>\n
\n
Alle Windows-Versionen anf\u00e4llig<\/h2>\n
![](\"https:\/\/i.imgur.com\/bvxMYaA.jpg\"\/)
<\/p>\n