据报道,一种名为“进程复制”的新代码注入攻击已出现。据说所有版本的 Windows 都存在漏洞。所有主流安全产品都无法检测到这种攻击,而且据说无法修补。
如何检测这种攻击并加以防范?
答案1
如何检测这种攻击并加以防范?
目前,这种攻击媒介无法被检测到,直到各种反恶意程序供应商升级其产品和/或微软发布补丁。
因此唯一的肯定防止这种攻击的方法是不连接到互联网。
当然,你可以采取所有你应该采取的预防措施:
确保你的操作系统和所有反病毒程序都已完全修补,并且定义已更新
不要打开任何你不期望的附件或由你不认识或不信任的人发送的附件
仅浏览可信赖的网站
确保您拥有适当的备份策略
考虑安装类似深度冻结(“有了 Faronics Deep Freeze,您就不必再担心因访问恶意网站、意外更改或类似情况而导致的计算机问题。当出现问题时,只需重新启动机器,它就会恢复到最初的原始配置。”)
进程分身
据报道:
Process Doppelgänging 甚至可以在最新版本的 Windows 10 上运行,除了今年早些时候发布的 Windows 10 Redstone 和 Fall Creators Update。
文章继续说道:
但由于 Windows 10 Redstone 和 Fall Creators Update 中的一个不同错误,使用 Process Doppelgänging 会导致 BSOD(蓝屏死机),从而使用户的计算机崩溃。
讽刺的是,微软在后来的更新中修补了这一崩溃漏洞,使得 Process Doppelgänging 能够在最新版本的 Windows 10 上运行。
因此,根据您安装的补丁,您可能会遇到 BSOD,而不是容易受到攻击。
来源进程复制:新型恶意软件规避技术适用于所有 Windows 版本
好消息和坏消息
好消息是,使进程分身发挥作用“存在很多技术挑战”,攻击者需要了解“大量有关进程创建的未记录的细节”。
坏消息是,由于该攻击利用了 Windows 进程加载机制的基本功能和核心设计,因此“无法修补”。
进一步阅读
- 交易中的迷失:流程分身- 2017 年欧洲黑帽安全大会 PowerPoint 演示文稿