Process Doppelgänging:一种新的防病毒隐藏技术，能够正常工作在所有的windows版本

Ensilo安全研究组发现了一种新型的防病毒隐藏技术，这种技术可以帮助病毒发布者抵抗大部分现今的反病毒方案和取证工具。
这种新的无病毒代码注入技术 被称为Process Doppelgänging，它利用内置的windows 函数和来自windows进程载入器中的无正式文件的应用实现功能。
Ensilo安全研究员 Tal Liberman 和 Eugene Kogan发现了Process Doppelgänging攻击技术，并于今天在 Black Hat 2017 Security conference展示了他们的成果。

Process Doppelgänging 正常工作在所有的windows版本上

显而易见，Process Doppelgänging攻击技术工作在所有的现代微软电脑操作系统上，从之前的windows vista 到最新的windows10。
enSilo研究小组的领头人Tal Liberman 告知 The Hacker New ，这种防病毒规避技术和 Process Hollowing 很相似。Process Hollowing 现身于几年前，它通过击败安全产品的减缓能力，进而实现攻击。
在Process Hollowing 攻击中，攻击者利用恶意代码替换了内存中一段合法的进程的代码，通过这种手段，恶意代码将会执行，而欺骗过程监视器和反病毒工具认为运行的是原来的进程。
如今，所有的现代反病毒和安全产品都针对Process Hollowing 攻击技术进行了防范，使得Process Hollowing 攻击技术已经不会对操作系统产生多大的影响了。
相比之下，Process Doppelgänging和Process Hollowing殊途同归，但是Process Doppelgänging使用了一种完全不同的方法。它通过攻击windows NTFS 运作机制和一个来自windows进程载入器中的过时的应用。这种过时应用本来是为windows XP 而设计，但是一直附带着直至最新版本的windows。

下面将介绍Process Doppelgänging攻击技术是如何运作的

在进一步了解这种新型代码注入攻击之前，你需要理解什么是 windows NTFS 运作机制以及攻击者如何利用它来隐藏恶意行为。
NTFS 运作机制是windows系统 的一种特征，这种特征将原核事务运作机制引入了NTFS系统。通过它，使得文档和文件可以被创建，被修改，被重命名，以原子方式的被删除。
NTFS 运行机制是一块隔绝的空间，它使得windows应用开发者能够写出文件输出程序，这种文件输出程序只有两种结果：或者是完全失败，或者是完全成功。
根据研究者，Process Doppelgänging 是一种无病毒代码的攻击，它主要有以下四个步骤。

1.处理—将合法可执行文件载入NTFS运行机制，然后利用 恶意文件重写可执行文件
2.载入—从跟改的（恶意）的文件创建内存节
3.回退—回退事件（故意是事件失败），使得合法文件中的所有的改变都移除
4.激活—激活恶意文件的分身，使用更老的windows进程载入器中的应用利用步骤2中已经创建了的内存块创建一个进程，这个进程实际上是病毒，而且它永远不会保存到硬盘中，而这使得大部分的记录工具例如 EDRs无法发现它。

Process Doppelgänging规避来自大多数反病毒的检测

Liberman 告诉 The Hacker News在他们的研究中，他们在各种各样的安全产品上测试过他们的攻击，包括Windows Defender, Kaspersky Labs, ESET NOD32, Symantec, Trend Micro, Avast, McAfee, AVG, Panda，甚至还在先进的取证工具上测试过。
为了描述，研究者使用一种叫做Mimikatz post-exploitation 工具来帮助从受影响的系统中提取凭证，同时Process Doppelgänging绕过反病毒防护。
当研究者在windows操作系统上正常运行Mimikatz时， Symantec反病毒方案立刻捕捉到这个工具，如下所示：

然而，当利用Process Doppelgänging 执行时，Mimikatz静静的运行着 ，没有反病毒软件显示任何警告，正如文章开头的那张图片现实的那样。
Liberman告诉我们，Process Doppelgänging甚至可以工作在最新的windows10版本上，除了今年早些时候发布的windows10 Redstone 和 Fall Creators Update 几个系统外。
但是由于一个在windows10 Redstone 和 Fall Creators Update 系统上的一个不同于本篇的bug，使用Process Doppelgänging可以造成BSOD使得使用者的电脑崩溃。
具有讽刺意味的是，这个使得崩溃的bug在最近更新版本上已经打了补丁，却使得Process Doppelgänging在最新版本的windows10上运行。
我不希望微软迅速发布紧急补丁，那有可能使得一些依赖原来老的应用的软件不稳定。但反病毒公司可以更新他们的产品来防护利用Process Doppelgänging或者类似的攻击方法的病毒。
这已经不是第一次enSilo研究员发现防病毒隐藏技术。之前他们发现并发布了AtomBombing 技术，这种技术利用的是一个在windows系统上设计弱项。
在9月，enSilo研究员在windows系统内核发现了一个17年之久的软件错误，这个错误会阻止安全软件在运行时防护载入系统内存的恶意软件。

原文地址：https://thehackernews.com/2017/12/malware-process-doppelganging.html

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课