นักวิจัยทางด้าน security พบวิธีการหลบเลี่ยงการตรวจจับของ Antivirus และ Forensic Tool ใหม่โดยใช้ชื่อว่า Process Doppelgänging

Process Doppelgänging เป็นการกระทำแบบ fileless กล่าวคือไม่มีการสร้างไฟล์ในเครื่อง ซึ่งเป็นการใช้ built-in Windows function แล้วไปโหลดใน Windows process loader แทน โดยบริษัทที่เป็นผู้ที่ค้นพบวิธีการนี้คือ Ensilo นักวิจัยที่เจอคือ Tal Liberman และ Eugene Kogan, ซึ่งได้นำเสนอวิธีการนี้ในงาน BlackHat 2017 ใน London ที่เพิ่งเริ่มขึ้นนั่นเอง

Process Doppelgänging เป็นวิธีที่สามารถทำได้ใน Microsoft Windows operating system ตั้งแต่ Windows Vista ถึง Windows 10 เลย
Tal Liberman, ซึ่งเป็นหัวหน้าวิจัย security ที่ enSilo กล่าวว่าจริงๆแล้ว Process Doppelgänging คล้ายๆกับ  Process Hollowing (สรุปสั้นๆคือการแทนที่ memory ของ process ที่ปกติด้วย malicious code แล้วตัว malware นั้นก็จะโหลด code นั้นมาทำงาน ซึ่งกลายเป็นว่าเมื่อดูจาก process จะเห็นเป็นการทำงานของ process ปกติ)
Process Doppelgänging ต่างกันนิดหน่อยแต่ผลลัพธ์เหมือนกันโดยการใช้ Windows NTFS Transactions และการที่ไม่ update ของ Windows process loader มานาน (ถูก design และใช้งานมาตั้งแต่ Windows XP)
NTFS Transaction คือ feature ของ Windows NTFS file system ที่อนุญาตให้ไฟล์และ folder สามารถถูกสร้าง,แก้ไข, rename, ลบแบบได้ด้วยการกระทำเป็นงานย่อย ๆ โดยในแต่ละ transaction นั้นถูกดำเนินการมาอย่างครบถ้วน หรือถ้าไม่ครบถ้วนข้อมูลใน NTFS นั้นก็จะไม่ถูกดำเนินการใด ๆ เลย
4 step ในการกระทำของ Process Doppelgänging  คือ
  1. Transact—รัน process เป็น NTFS transaction แล้วเขียนทับด้วย malicious file.
  2. Load—สร้าง memory section ในส่วนที่ถูก modified
  3. Rollback—กระทำการ rollback transaction (การทำให้ transaction เกิด failed), ด้วยการลบการเปลี่ยนแปลงใดๆใน executable ทำให้เปรียบเสมือนมันไม่เคยมีอยู่
  4. Animate—ใช้ Windows process loader กระทำการสร้าง process จาก memory ที่ถูกสร้างใน (2) ซึ่งมันคือ malicious code และไม่เคยถูก save ลง disk, “ทำให้มันล่องหนต่อ Endpoint ใดๆ”

ทางนักวิจัยความปลอดภัยได้ทดสอบโดยการนำ Mimikatz (ทำไมต้องตูอีกแล้ว โดนเป็นเหยื่อเทสการ bypass ประจำ), สำหรับการ bypass การตรวจจับโดย Antivirus ใดๆ

Liberman กล่าวว่า technique Process Doppelgänging สามารถทำงานได้ Windows 10 ล่าสุดยกเว้น Redstone และ Fall Creators Update ซึ่งปล่อยมาเมื่อช่วงต้นปีที่ผ่านมา

เมื่อกระทำใน Windows 10 Redstone และ Fall Creators Update, ปรากฏว่าการทำ Process Doppelgänging ทำให้เกิด BSOD (blue screen of death), เครื่อง hang นั่นเอง
แต่เมื่อเวลาผ่านไป Microsoft ปล่อย update ออกมา ทำให้กลายเป็น Process Doppelgänging สามารถทำงานได้ซะอย่างนั้น
ซึ่งวิธีการนี้ Microsoft อาจจะไม่เห็นว่าเป็นช่องโหว่รุนแรงและอาจจะยังไม่ออก patch ใดๆ แต่ Endpoint Solution ทั้งหลายแหล่นี่แหล่ะที่จะต้องออก patch เพื่อมา detect วิธีการดังกล่าวแทนครับ