Эксперты установили, что с помощью использования транзакций NTFS можно внести изменения в исполняемый файл. Далее, Process Doppelgänging способна замаскировать загрузку этого модифицированного файла. Антивирусные программы даже не догадываются о том, что компьютер подвергся атаке, поскольку вредоносный код, используемый Process Doppelgänging, не сохраняется на диске.
Эксперты безопасности протестировали атаку на продуктах ведущих компаний: Kaspersky, Bitdefender, ESET, Symantec, McAfee, Norton, Windows Defender, AVG, Sophos, Trend Micro, Avast и Panda. В своих экспериментах исследователи использовали Process Doppelgänging для запуска Mimikatz, известной утилиты, используемой для кражи паролей.
«Обнаруженный нами способ позволяет запускать любой вредоносный код под видом легитимного процесса на машине с любой из ОС Windows. Технология позволяет перезаписать любой “хороший” файл, внедрив в него вредоносный код. Антивирусные продукты ничего не замечают, так как вредоносный процесс выглядит как легитимный», — предупреждают эксперты enSilo.
Впрочем, следует сказать, что технология Process Doppelgänging чрезвычайно сложна в исполнении, поэтому воспользоваться ей смогут только очень подкованные злоумышленники. С другой стороны, эксперты сообщают, что на данный момент эту брешь закрыть никак нельзя.