先说重点
欧洲黑客大会曝光新型攻击技术,可绕过大部分电脑防御系统,极难检测。开启360安全卫士可防御。
在前不久伦敦举办的2017欧洲黑帽大会(Black Hat Europe 2017)上,来自网络安全公司enSilo的两名研究人员介绍了一种名为“Process Doppelgänging”的新型代码注入技术,一时间引起互联网安全行业的激烈讨论。
Process Doppelgänging攻击的恶意代码不会保存到磁盘,也就是“无文件攻击”,能绕过绝大多数安全产品的检测,甚至专业的取证工具也无法将其捕获,就像佛山无影脚一样,来无影去无踪。
不过大家不必担心,目前360安全卫士已专门针对此攻击技术进行防护,通过多维度的主动防御技术,可对Process Doppelgänging攻击行为进行拦截,确保用户电脑安全。
图:360安全卫士成功拦截Process Doppelgänging攻击技术
史上最狡猾攻击方式可绕过大部分杀软检测
Process Doppelgänging与之前曝光的Process Hollowing技术类似,却又比后者更进一步。Process Hollowing是现代恶意软件常用的一种进程创建技术,虽然使用任务管理器之类的工具查看时,这些进程看起来合法,但该进程的代码实际上已被恶意内容替代。
Process Doppelgänging除了以上方式外,还同时通过攻击Windows NTFS 运作机制和一个来自Windows进程载入器中的过时应用,以此来掩盖已修改可执行文件的加载进程。
图:Process Doppelgänging可绕过大多数杀毒软件的检测
研究人员表示,利用“Process Doppelgänging”的恶意代码不会保存到磁盘,也就是所谓的“无文件攻击”,因此大多数主流安全产品无法检测到。
研究人员成功在国外多个知名杀软上测试了这种攻击技术,甚至高级取证工具(例如Volatility)也检测不到它,堪称是目前为止已发现的“最狡猾”的一种攻击方式。
360主动防御再升级 成功拦截“最狡猾”攻击
360安全卫士日前宣布已破解了“Process Doppelgänging”的攻击行为,通过对云安全主动防御系统的强化,360安全卫士以多维度的保护,对攻击的注入和进程创建行为均可进行拦截,保护用户电脑不会被恶意代码感染。
在使用电脑过程中,只要开启360安全卫士,即可防御此类攻击行为。
