Наскоро програмистите на enSilo представиха на IT общността най-новия метод за заобикаляне на компютърната защита Process Doppelganging. Всички антивирусни програми не го забелязват. Методиката бе демонстрирана на конференцията Black Hat Europe 2017.

Оказало се, че Process Doppelganging използва уязвимостта на стандартната файлова система Windows, NTFS, и при това не оставя следи след себе си. Той може да промени кода на пуснатия процес с вредоносен.

Например, да създава фалшиви прозорци в браузъра и да краде пароли. Методът до известна степен прилича на познат, но вече неопасен способ за „хакване“ - Process Hollowing, като сега кодът на програмата не се съхранява в твърдия диск, а се намира в оперативната памет.

По време на експеримента са били тествани антивирусни програми, като Windows Defender, AVG Internet Security, Bitdefender, ESET NOD 32, Symantec Endpoint Protection, McAfee VSE 8.8 Patch 6, Kaspersky Endpoint Security 10, Kasperksy Antivirus 18, Symantec Endpoint Protection 14, Panda и Avast.

Изследванията са правени с операционни системи Windows 10, Windows 8.1 и Windows 7 SP1.

Да се възползват от описания метод на „злия двойник“ начинаещите хакери няма да могат.

Анализаторите от enSilo Евгений Коган и Тал Либерман обясняват, че той изисква задълбочени познания за вътрешните механизми на AVS-скенерите. Освен това обновлението на Windows 10 Fall Creators Update вече е способно да „чувства“ използването на Process Doppelganging.