یک تیم از محققان امنیتی تکنیکی را کشف کرده اند که به ویروس نویسان کمک می کند تا تمامی آنتیویروس های مدرن و ابزارهای ردیابی سیستم را دور بزنند.
#Process_Doppelganging، تکنیک تزریق کد [1]است که از فایل های اصلی ویندوز استفاده می کند و فرآیندهای اجرایی ویندوز را به صورت غیر قانونی اجرا می کند.
حمله ی Process Doppelgänging برروی تمامی نسخه های ویندوز، از ویندوز ویستا تا ویندوز 10 کار میکند.
Tal Liberman رهبر تیم تحقیقاتی ensilo ادعا می کند که این تکنیک دور زدن آنتی ویروس، شبیه به حمله Process Hollowing که یک متد جدید برای دور زدن محصولات امنیتی ارائه داده است می باشد.
همچنین Liberman ادعا کرده که طبق خبرهای هکرها، آنها این حملات را روی تمامی محصولات امنیتی مانند Kaspersky، Nod 32، Symantec و... پیاده سازی کردند.
Tal Liberman و Eugene Kogan محققان امنیتی گروه ensilo کاشفان حمله Process Doppelgänging هستند، که یافته های خود را در کنفرانس Black Hat 2017 لندن ارائه دادند.
-------------------------------------------------------------------------------
[1] Code injection
- 23