Sikkerhedsforskere opdagede en ny ondsindet teknik, der hjælper malware med at opnå unddragelse på et inficeret system. Kaldet Process Ghosting, teknikken kunne udnyttes af en trusselsaktør til at omgå sikkerhedsbeskyttelse og køre ondsindet kode på et Windows-system.
Relaterede: Siloscape: den første malware, der er målrettet mod Windows Server-containere
Detaljeret af elastisk sikkerhedsforsker Gabriel Landau, teknikken er et billed manipulationsangreb, hvilket svarer til tidligere angreb kaldet Doppelgänging og Herpaderping.
”Med denne teknik, en hacker kan skrive et stykke malware til disken på en sådan måde, at det er svært at scanne eller slette det - og hvor det derefter udfører den slettede malware, som om det var en almindelig fil på disken. Denne teknik involverer ikke kodeinjektion, udhulningsproces, eller Transaktionel NTFS (TxF),”Sagde Landau.
Process Ghosting forklaret
Som allerede nævnt, Process Ghosting er relateret til tidligere slutpunktsomgåelsesmetoder kaldet Doppelgänging og Herpaderping. Begge tidligere metoder involverer indsprøjtning af ondsindet kode i adresserummet i en legitim apps live-proces. Koden kunne derefter udføres fra den betroede app.
Process Herpaderping, især, er relateret til en metode, der tilslører opførelsen af en kørende proces ved at ændre den eksekverbare på disken, efter at billedet er kortlagt i hukommelsen. Dette er muligt på grund af et mellemrum mellem det tidspunkt, processen oprettes, og det tidspunkt, hvor et sikkerhedsprodukt underrettes om oprettelsen. Dette giver malware-forfattere et tidsvindue til at manipulere med den eksekverbare fil, før den scannes af sikkerhedsprogrammet.
”Vi kan bygge videre på Doppelgänging og Herpaderping for at køre eksekverbare filer, der allerede er blevet slettet," Forklarede Landau. Process Ghosting bruger det faktum, at Windows OS forsøger at forhindre, at kortlagte eksekverbare filer kun bliver ændret eller slettet, efter at binærprogrammet er kortlagt i en billedsektion.
“Det betyder, at det er muligt at oprette en fil, markér det til sletning, kortlæg det til et billedsnit, luk filhåndtaget for at fuldføre sletningen, derefter oprette en proces fra den nu fileless sektion,” forskeren tilføjet. Dette er kernen i Process Ghosting.
Dette er de trin, som Process Ghosting kræver for dens udførelse:
- Opret en fil
- Sæt filen i en slet-ventende tilstand ved hjælp af NtSetInformationFile(FileDispositionInformation).
- Note: Forsøg på at bruge FILE_DELETE_ON_CLOSE i stedet sletter ikke filen.
- Skriv nyttelasten eksekverbar til filen. Indholdet forbliver ikke vedvarende, fordi filen allerede er slettet i afventning. Den sletningsafventende tilstand blokerer også eksterne filåbningsforsøg.
Opret en billedsektion til filen.- Luk håndtaget til sletning, sletning af filen.
- Opret en proces ved hjælp af billedsektionen.
- Tildel procesargumenter og miljøvariabler.
- Opret en tråd, der skal udføres i processen.
Elastic Search leverede også en proof-of-concept-demo, der beskriver et scenarie med Windows Defender, der forsøger at åbne en ondsindet eksekverbar nyttelast. Programmet kan ikke scanne det, fordi filen er i en slet-afventende tilstand. Derefter mislykkes det igen, da filen allerede er slettet. Dette gør det muligt at udføre det uhindret.
Teknikken er blevet rapporteret til Microsoft Security Response Center i maj 2021. Men, Windows-producenten sagde, at problemet ikke opfylder deres bar for service. Det er bemærkelsesværdigt, at Process Herpaderping-teknikken fik et lignende svar, da den blev offentliggjort i juli sidste år.
Andre unddragelsesteknikker Malwareforfattere bruger
I december 2020, sikkerhedsforskere rapporterede, at en ny ondsindet tjeneste sætter cyberkriminelle i stand til at forbedre deres afsløringsmekanismer. Hedder obfuscation-as-a-service, tjenesten viser, hvor “robust cyberkriminel økonomi er,”Som påpeget af DarkReading-bidragende forfatter Ericka Chickowski.
Forblænding-som-en-tjeneste-platformen blev demonstreret under Botconf 2020 virtuel konference. Hackere lykkedes at udvikle en fuldautomatisk serviceplatform, der beskytter Android-pakkesæt til malware (APK-filer) fra AV-detektion. Tjenesten er tilgængelig som en engangsbetaling eller et månedligt abonnement. Det er oversat til engelsk og russisk, og har været åben i mindst seks måneder i år, eller måske længere.
I maj 2019, Akamai beskrev den såkaldte cipher stuntunddragelsesteknik, baseret på SSL / TLS signatur randomisering. Kort sagt, cyberkriminelle er randomisering SSL / TLS signaturer i deres forsøg på at undgå opdagelse.