新型“无文件攻击”想绕过杀软？360已成功拦截

　　在前不久伦敦举办的2017欧洲黑帽大会(Black Hat Europe 2017)上，来自网络安全公司enSilo的两名研究人员介绍了一种名为“Process Doppelgänging”的新型代码注入技术，一时间引起互联网安全行业的激烈讨论。

　　据悉，这种新型技术可针对所有Windows版本的平台发起攻击，而且还可以帮助病毒散播者绕过大部分反病毒方案和取证工具。不过广大用户不必担心，目前360安全卫士已专门针对此攻击技术进行防护，通过多维度的主动防御技术，可对Process Doppelgänging攻击行为进行拦截，确保用户电脑安全。

　　图：360安全卫士成功拦截Process Doppelgänging攻击技术

　　史上最狡猾攻击方式 可绕过大部分杀软检测

　　Process Doppelgänging与之前曝光的Process Hollowing技术类似，却又比后者更进一步。Process Hollowing是现代恶意软件常用的一种进程创建技术，虽然使用任务管理器之类的工具查看时，这些进程看起来合法，但该进程的代码实际上已被恶意内容替代。

　　Process Doppelgänging除了以上方式外，还同时通过攻击Windows NTFS 运作机制和一个来自Windows进程载入器中的过时应用，以此来掩盖已修改可执行文件的加载进程。

　　图：Process Doppelgänging可绕过大多数杀毒软件的检测

　　研究人员表示，利用“Process Doppelgänging”的恶意代码不会保存到磁盘，也就是所谓的“无文件攻击”，因此大多数主流安全产品无法检测到。研究人员成功在国外多个知名杀软上测试了这种攻击技术，甚至高级取证工具(例如Volatility)也检测不到它，堪称是目前为止已发现的“最狡猾”的一种攻击方式。

　　360主动防御再升级  成功拦截“最狡猾”攻击

　　enSilo研究人员曾表示，这项技术旨在允许恶意软件通过看似合法的进程在目标设备上运行任意代码(包括恶意代码)，并且不留下任何活动踪迹，同时安全产品还检测不到其中的异常。

　　此言论一出，互联网安全行业从业人士纷纷表示这是一个“喜忧参半”的消息。“喜”的是，实现“Process Doppelgänging”面临着大量技术挑战，攻击者需要了解进程创建的大量未公开细节。但同时，令人悲观的是，这种攻击无法通过打补丁修复解决，因为它利用的是基本功能和Windows进程加载机制的核心设计。

　　不过广大中国网民可以放心，360安全卫士日前宣布已破解了“Process Doppelgänging”的攻击行为，通过对云安全主动防御系统的强化，360安全卫士以多维度的保护，对攻击的注入和进程创建行为均可进行拦截，保护用户电脑不会被恶意代码感染。