Home
-
Dictionary
16/05/2025

Process Doppelgänging

Wyrafinowana technika wstrzykiwania złośliwego oprogramowania, która tworzy i uruchamia złośliwe procesy bez wykrycia.

Czym jest Process Doppelgänging?

Process Doppelgänging to metoda wstrzykiwania złośliwego kodu, która wykorzystuje transakcyjny system plików NTFS (TxF) dostępny w systemach Windows. Wprowadzony w Windows Vista, TxF miał na celu umożliwienie wykonywania wielu operacji na plikach jako jednej jednostki, którą można zatwierdzić lub wycofać. Dzięki temu operacje na plikach są atomowe i mogą zostać cofnięte w razie błędu. Cyberprzestępcy znaleźli jednak sposób na wykorzystanie tej funkcjonalności do celów złośliwych.

Jak działa Process Doppelgänging?

  1. Rozpoczęcie transakcji: Atakujący tworzy nową transakcję NTFS. W jej ramach uruchamia legalny proces, a następnie zastępuje jego pamięć złośliwym kodem.

  2. Zatwierdzenie transakcji: Po podmianie pamięci legalnego procesu, transakcja jest zatwierdzana. Oznacza to, że złośliwy kod staje się częścią procesu, który wydaje się legalny — wszystko to bez tworzenia nowych plików wykonywalnych na dysku.

  3. Wykonanie: System operacyjny uruchamia pozornie legalny proces, który w rzeczywistości zawiera kod atakującego. Ponieważ proces wygląda na legalny, może ominąć tradycyjne mechanizmy zabezpieczeń, które polegają na wykrywaniu podejrzanych operacji na plikach.

Skutki działania Process Doppelgänging

Process Doppelgänging pozwala złośliwemu oprogramowaniu „wtopić się” w legalne procesy, co utrudnia wykrycie i zablokowanie go przez tradycyjne oprogramowanie antywirusowe. Taka zdolność do ukrywania się niesie ze sobą poważne konsekwencje:

  • Kradzież danych: Atakujący mogą uzyskać nieautoryzowany dostęp do poufnych informacji, takich jak dane osobowe, finansowe czy firmowe.

  • Szpiegostwo: Dzięki działaniu w ukryciu, cyberprzestępcy mogą prowadzić długotrwały monitoring użytkowników i zbieranie informacji bez wzbudzania podejrzeń.

  • Manipulacja systemem: Uruchamianie złośliwego kodu jako pozornie legalnych procesów umożliwia manipulację działaniem systemu, co może prowadzić do zakłóceń, uszkodzenia danych lub awarii systemu.

Pamiętaj: Bycie na bieżąco i wdrażanie proaktywnych środków bezpieczeństwa to kluczowe kroki w ochronie przed ewoluującym krajobrazem cyberzagrożeń.

Może Cię zainteresować
NetFlow
Informacje o strumieniach danych przepływających przez urządzenia sieciowe nazywane są NetFlow – to najczęściej stosowany standard statystyk danych przepływów.
Learn more >
TCP Protocol
Niezawodna, uporządkowana i kontrolowana pod względem błędów metoda transmisji danych, niezbędna przy przeglądaniu stron WWW, poczcie e-mail i transferze plików.
Learn more >
Fast Flux
Technika, w której atakujący szybko zmieniają adresy IP złośliwych serwerów, wykorzystując botnet w celu uniknięcia wykrycia i utrudnienia ich likwidacji.
Learn more >
x
Leveraging the nTop nDPI for Application Visibility within Sycope/nProbe integration
< Previous video
Next video >
Leveraging the nTop nDPI for Application Visibility within Sycope/nProbe integration
Produkty
Produkty
Visibility Performance Security Asset discovery
Źródła
Źródła
Baza wiedzy
Dokumentacja
 Integracje Case studies FAQ
Firma
Firma
O nas Kariera Partnerzy Dla Inwestorów
© 2025 Sycope S.A. Wszystkie prawa zastrzezone. Polityka prywatności
Ta witryna jest zarejestrowana pod adresem wpml.org jako witryna rozwojowa. Przełącz się na klucz witryny produkcyjnej na remove this banner.