Un equipo de investigadores ha descubierto una nueva técnica por la cual el malware podría lograr saltarse los controles de los antivirus y entrar en los equipos Windows. De esta manera, logrando infectar el equipo en cuestión. Se ha bautizado como el proceso Doppelgänging y es una nueva técnica que se aprovecha de una función de Windows y del cargador de procesos.
Un fallo permite a los virus infectar equipos Windows
Los investigadores han presentado sus hallazgos en la conferencia de seguridad Black Hat 2017. Este proceso parece funcionar en todas las versiones de Windows. Además, esta técnica de evasión de malware se parece al Process Hollowing descubierto hace unos años.
Cómo funciona Doppelgänging en Windows
En este caso, la técnica es diferente a Process Hollowing. Principalmente porque todos los equipos y antivirus ya cuentan con protección ante la misma. En este caso, el proceso tiene un enfoque diferente, aunque el objetivo es el mismo. Se hace uso de Windows NTFS Transactions y de una implementación antigua del gestor de procesos del sistema operativo. Dicho gestor fue diseñado originalmente para Windows XP, pero todas las versiones lo tienen.
NTFS Transactions permite crear, modificar, renombrar y eliminar archivos y directorios en particiones. Esto da la opción a los desarrolladores de crear rutinas de salida. En primer lugar el ataque procesa un ejecutable válido. Pero, a continuación procede a sobrescribirlo con un archivo malicioso. Crea una sección de memoria desde este archivo malicioso y elimina los cambios que se realizan en el válido. La sección de memoria es la que realmente tiene el código malicioso, pero logra ser invisible para los antivirus.
[irp]
Ha logrado saltarse los principales antivirus en los distintos análisis llevados a cabo por los investigadores. Por lo que se trata de un problema que debe solucionarse. Parece que todas las versiones de Windows, a excepción de Fall Creators Update son víctimas de este posible fallo.
