เทคนิคใหม่ Process Doppelgänging ซ่อนมัลแวร์จากแอนติมัลแวร์และโปรแกรมตรวจสอบหลักฐานดิจิตอลได้

กลุ่มนักวิจัยด้านความปลอดภัยจาก Ensilo ได้แก่ Tal Liberman และ Enguene Kogan ได้เปิดเผยเทคนิคใหม่ภายใต้ชื่อ Process Doppelgänging ที่งานสัมมนาด้านความปลอดภัย Black Hat 2017 ซึ่งจัดที่ลอนดอนเมื่อช่วงกลางสัปดาห์ที่ผ่านมา โดยเทคนิคนี้สามารถช่วยซ่อนมัลแวร์ให้ตรวจพบได้ยากขึ้นได้

เทคนิค Process Doppelgänging ใช้ฟีเจอร์หนึ่งของวินโดวส์ชื่อว่า NTFS Transaction ซึ่งแต่เดิมเป็นฟีเจอร์ที่ใช้ในการจัดการไฟล์ในระบบไฟล์ NTFS ร่วมกับ process loader รุ่นเก่าที่มีมาตั้งแต่ Windows XP จนถึงรุ่นปัจจุบัน การดำเนินการใดๆ ที่อยู่ในลักษณะ transaction จะเกิดขึ้นบนหน่วยความจำเท่านั้นและไม่มีการเขียนไฟล์ลงบนดิสก์จริงๆ จนกว่าจะมีการ commit

เริ่มต้นจากการสร้าง transaction เพื่อแก้ไขไฟล์ที่ไม่เป็นอันตรายโดยการสอดแทรกเนื้อหาของมัลแวร์ลงไปในไฟล์ดังกล่าว (ซึ่งแน่นอนว่าเกิดขึ้นบนหน่วยความจำ) โดยการแก้ไขดังกล่าวนั้นมีค่าเทียบเท่ากับการสร้างพื้นที่บนหน่วยความจำที่มีโค้ดของมัลแวร์อยู่ จากนั้นเพื่อลบหลักฐานการแก้ไขไฟล์ไป ผู้โจมตีจะต้องดำเนินการ rollback เพื่อย้อนคืนการแก้ไขใดๆ บนไฟล์ดังกล่าวออก ท้ายที่สุดผู้โจมตีจะทำการใช้ process loader ในการสร้างโปรเซสโดยอ้างอิงไปยังพื้นที่บนหน่วยความจำที่มีโค้ดที่เป็นอันตรายและยังคงอยู่ ทำให้เกิดการรันโค้ดที่เป็นอันตรายโดยไม่ทิ้งร่องรอยไว้ได้

เทคนิค Process Doppelgänging ถูกทดสอบแล้วว่าสามารถใช้งานได้บนวินโดวส์ตั้งแต่ Vista จนถึงวินโดวส์ 10 และในขณะนี้โปรแกรมป้องกันมัลแวร์กว่า 12 รายการยังไม่สามารถตรวจพบเทคนิคนี้ได้ที่ https://thehackernews.