このエクスプロイトで使用される技術は、ProcessDoppelgänging( "doppelganger"-"double"から)と呼ばれ、NTFS Transactions技術を使用して追跡を隠し、マルウェアを起動します。 一般的なエクスプロイトスキームは次のようになります。
最初の段階では、正規のWindowsファイルを変更するためにNTFSトランザクションが作成され、その本体は悪意のあるコードに置き換えられます。 トランザクションは閉じません。
2番目のステップは、変更されたファイルのコピーをメモリ(メモリセクション)に作成することです。 ただし、悪意のあるコードがメモリに侵入しますが、ファイルシステムへの実際のアクセスがなかったため、ウイルス対策ソフトウェアはFSへのアクセスに応答しません。
3番目のステップは、NTFSトランザクションのロールバックです。 ファイルは変更されておらず、ディスク上に痕跡はありませんが、マルウェアはすでにメモリに入っています。
4番目のステップは、実際に悪意のあるコードが含まれる実行可能ファイル(ZwCreateProcess)から作成されたメモリのセクションからプロセスを作成する呼び出しを使用して、Windowsブートローダーを呼び出すことです。 ウイルス対策スキャナーアルゴリズムは反応しますが、ディスクからファイルのイメージを読み取り、誰もそこで何も変更せず、プロセスが開始されます。
開発者は、現時点ではこのエクスプロイトをブロックできないと主張していますが、ウイルス対策ソリューションを更新して、この方法で攻撃を検出することができます。 この脆弱性は現在、NTFSトランザクションを導入した
2017年12月7日の悪用をスキップする実績のあるウイルス対策ソリューション(ソースから):Windows Defender、Kaspersky Endpoint Protection 14、AVG Internet Security、ESET NOD 32、Symantec Endpoint Protection 14、Trend Micro、Avast、McAfee VSE 8.8、Panda Antivirus、Qihoo 360