Sicherheitsforscher entdeckten eine neue bösartige Technik, mit der Malware auf einem infizierten System umgangen werden kann. Genanntes Prozess-Ghosting, Die Technik könnte von einem Bedrohungsakteur ausgenutzt werden, um Sicherheitsvorkehrungen zu umgehen und bösartigen Code auf einem Windows-System auszuführen.
verbunden: Silolandschaft: die erste Malware, die auf Windows Server-Container abzielt
Ausführlich von Elastic Security-Forscher Gabriel Landau, die technik ist ein bildmanipulationsangriff, was den früheren Angriffen namens Doppelgänging und Herpaderping etwas ähnlich ist.
„Mit dieser Technik, Ein Angreifer kann eine Malware so auf die Festplatte schreiben, dass es schwierig ist, sie zu scannen oder zu löschen – und dann die gelöschte Malware wie eine normale Datei auf der Festplatte ausführt. Diese Technik beinhaltet keine Codeinjektion, Aushöhlen bearbeiten, oder Transaktions-NTFS (TxF),“ sagte Landau.
Prozess-Ghosting erklärt
Wie bereits erwähnt, Process Ghosting bezieht sich auf frühere Endpunkt-Bypass-Methoden namens Doppelgänging und Herpaderping. Beide vorherigen Methoden beinhalten das Einschleusen von Schadcode in den Adressraum des Live-Prozesses einer legitimen App. Der Code könnte dann von der vertrauenswürdigen App ausgeführt werden.
Herpaderping verarbeiten, insbesondere, bezieht sich auf eine Methode, die das Verhalten eines laufenden Prozesses verschleiert, indem die ausführbare Datei auf der Festplatte modifiziert wird, nachdem das Image im Speicher abgebildet wurde. Dies ist möglich aufgrund einer Lücke zwischen dem Zeitpunkt der Erstellung des Prozesses und dem Zeitpunkt, an dem ein Sicherheitsprodukt über seine Erstellung benachrichtigt wird. Dies gibt Malware-Autoren ein Zeitfenster, um die ausführbare Datei zu manipulieren, bevor sie vom Sicherheitsprogramm gescannt wird.
„Wir können auf Doppelgänging und Herpaderping aufbauen, um bereits gelöschte ausführbare Dateien auszuführen," Landau erklärt. Process Ghosting nutzt die Tatsache, dass das Windows-Betriebssystem versucht zu verhindern, dass zugeordnete ausführbare Dateien erst geändert oder gelöscht werden, nachdem die Binärdatei einem Bildabschnitt zugeordnet wurde.
“Dies bedeutet, dass es möglich ist, eine Datei zu erstellen, zum Löschen markieren, ordnen Sie es einem Bildausschnitt zu, Schließen Sie das Datei-Handle, um den Löschvorgang abzuschließen, Erstellen Sie dann einen Prozess aus dem Abschnitt "now-fileless",” die Forscher hinzugefügt. Dies ist das Herzstück von Process Ghosting.
Dies sind die Schritte, die Process Ghosting für seine Ausführung benötigt:
- Datei erstellen
- Versetzen Sie die Datei mithilfe von NtSetInformationFile in einen Status zum Löschen ausstehend(FileDispositionInformation).
- Notiz: Wenn Sie stattdessen versuchen, FILE_DELETE_ON_CLOSE zu verwenden, wird die Datei nicht gelöscht.
- Schreiben Sie die ausführbare Nutzdatendatei in die Datei. Der Inhalt wird nicht beibehalten, da die Datei bereits gelöscht wurde.. Der Status Löschen ausstehend blockiert auch externe Versuche zum Öffnen von Dateien.
Erstellen Sie einen Bildabschnitt für die Datei.- Schließen Sie das Handle zum Löschen ausstehend, Datei löschen.
- Erstellen Sie einen Prozess mit dem Bildbereich.
- Prozessargumente und Umgebungsvariablen zuweisen.
- Erstellen Sie einen Thread, der im Prozess ausgeführt werden soll.
Elastic Search lieferte auch eine Machbarkeitsdemo, die ein Szenario beschreibt, in dem Windows Defender versucht, eine ausführbare Datei mit schädlicher Nutzlast zu öffnen. Das Programm kann sie nicht scannen, da sich die Datei im Status zum Löschen ausstehend befindet. Dann schlägt es wieder fehl, da die Datei bereits gelöscht ist. Dadurch kann es ungehindert ausgeführt werden.
Die Technik wurde im Mai an das Microsoft Security Response Center gemeldet 2021. Jedoch, Der Windows-Hersteller sagte, dass das Problem nicht für die Wartung geeignet ist. Es ist bemerkenswert, dass die Process Herpaderping-Technik eine ähnliche Resonanz fand, als sie im Juli letzten Jahres veröffentlicht wurde.
Andere Umgehungstechniken, die Malware-Autoren verwenden
Im Dezember 2020, Sicherheitsforscher berichteten, dass ein neuer bösartiger Dienst es Cyberkriminellen ermöglicht, ihre Mechanismen zur Umgehung der Erkennung zu verbessern. Namens Verschleierung-as-a-Service, Der Dienst zeigt, wie „robust die Cyberkriminelle Wirtschaft ist,”, Wie von DarkReading-Autorin Ericka Chickowski hervorgehoben.
Die Obfuscation-as-a-Service-Plattform wurde während der Botconf . demonstriert 2020 virtuelle Konferenz. Hackern ist es gelungen, eine vollautomatische Serviceplattform zu entwickeln, die Android Packet Kits für mobile Malware schützt (APKs) von der AV-Erkennung. Der Service ist als einmalige Zahlung oder als wiederkehrendes monatliches Abonnement erhältlich. Es ist ins Englische und Russische übersetzt, und ist seit mindestens sechs Monaten in diesem Jahr geöffnet, oder vielleicht länger.
Im Mai 2019, Akamai beschrieb das sogenannte Chiffre-Stunting-Umgehungstechnik, basierend auf SSL / TLS Signatur Randomisierung. Kurz gesagt, Cyber-Kriminelle SSL / TLS-Signaturen in ihrem Versuch sind Randomisierung der Entdeckung zu entgehen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: