„Process Doppelgänging“
Das Verfahren „Process Doppelgänging“ wurde von Sicherheitsforschern von EnSilo während der Hackerkonferenz Black Hat Europe vorgestellt, wie winfuture.de dazu informierte. Wie die Wissenschaftler darstellten gelingt es, mittels des „Process Doppelgänging“ jegliche gängigen Virescanner zu überlisten. Das wurde besonders anschaulich demonstriert, da die Wissenschaftler mit ihrer Methode auch Malware tarnen konnten, die längst bekannt ist und von jedem Sicherheits-Tool erkannt werden sollte.
Außer den Virenscannern war es auch möglich, die internen Sicherheits-Mechanismen des Windows-Betriebssystems zu umgehen. Grundlage dafür war die Eigenschaft, als ein völlig normaler Windows-Prozess zu erscheinen.
Malware schwer erkennbar
Laut Angaben der Sicherheitsforscher kann die Malware im Schadensfall nur schwer analysiert werden. Wie es dazu heißt, suchen die Analysten im Prinzip nach Spuren, die bestimmten Schemata folgen. Um zu erkennen, dass hier tatsächlich eine Malware im Spiel war, muss also schon ein kundiger Fachmann ganz genau nach Hinweisen suchen.
Was die Umsetzung dieser Erkenntnisse zur Durchführung von Cyberangriffen betrifft haben die Sicherheitsforscher allerdings nicht allzu große Bedenken. Für einen auf dem Verfahren „Process Doppelgänging“ beruhenden Angriff bedarf es schon tiefgreifender Kenntnisse über verschiedene komplexe Mechanismen im Windows-System und in den Engines der Virenscanner.
Weiterführende Links:
EnSilo Hackerkonferenz Black Hat Europe
winfuture.de: Malware tarnt sich als Doppelgänger von Windows-Prozessen
