Un equipo de investigadores de seguridad ha descubierto una nueva técnica de evasión de malware que podría ayudar a los creadores de código malicioso a «pasar por encima» de la mayoría de las soluciones antivirus actuales en los sistemas Windows.
Se ha dado a conocer como proceso Doppelgänging y se trata de una nueva técnica que saca provecho de una función de Windows y del cargador de procesos del mismo sistema. Así los investigadores de seguridad que lo han descubierto acaban de presentar sus hallazgos en la conferencia de seguridad Black Hat 2017 de Londres. En principio, el proceso llamado Doppelgänging funciona en todas las versiones más recientes de Windows, en concreto desde Windows Vista hasta la última versión, Windows 10.
Tal Liberman, jefe del equipo de investigación, afirma que esta técnica de evasión de malware es similar a “Process Hollowing”, un método descubierto hace unos años y usado por los atacantes para «derrotar» a los productos de seguridad. En este método los atacantes reemplazan la memoria de un proceso legítimo por código malicioso para que este se ejecute en lugar del original, engañando así a las herramientas de escaneado de procesos y antivirus, y «crean» que el proceso original es el que se está ejecutando.
Debido a que todos los antivirus y suites de seguridad ya han sido actualizados para detectar los mencionados ataques Process Hollowing, el uso de esta técnica ya ha quedado atrás. Sin embargo el actual proceso Doppelgänging es un enfoque totalmente diferente para lograr lo mismo, ya que hace uso de “Windows NTFS Transactions” y de una implementación anticuada del gestor de procesos del sistema de Microsoft que originalmente fue diseñado para Windows XP, pero que lo llevan todas las versiones posteriores del software hasta nuestros días.
Cómo funciona este nuevo ataque para Windows
Decir que NTFS Transaction es una función de Windows que permite crear, modificar, renombrar y eliminar archivos y directorios en estas particiones, lo que igualmente da la posibilidad a los desarrolladores de aplicaciones de crear rutinas de salida correctamente. Así, en primer lugar este ataque procesa un ejecutable legítimo y a continuación lo sobrescribe con un archivo malicioso. Tras esto crea una sección de memoria desde el archivo malicioso y elimina de todos los cambios que se realicen en el ejecutable legítimo.
Después se usa la comentada implementación ya anticuada de Windows para crear un proceso con la sección de memoria generada anteriormente, que en realidad es la que contiene el código malicioso y de ese modo logra que sea invisible para la mayoría de las herramientas de seguridad actuales. De hecho, durante la investigación se ha probado el ataque contra la mayoría de los antivirus como Windows Defender, Kaspersky Labs, ESET NOD32, Symantec, Trend Micro, Avast, McAfee, AVG o Panda, con resultados negativos, es decir, que se los salta a todos ellos.
Doppelgänging funciona incluso en las últimas versiones de Windows 10, excepto en Fall Creators Update, donde el uso de Process Doppelgänging conlleva un pantallazo azul que bloquea los PCs.