Los investigadores de seguridad descubrieron una nueva técnica maliciosa que ayuda al malware a lograr la evasión en un sistema infectado. Proceso llamado Ghosting, La técnica podría ser aprovechada por un actor de amenazas para eludir las protecciones de seguridad y ejecutar código malicioso en un sistema Windows..
Relacionado: Siloscape: el primer malware que se dirige a los contenedores de Windows Server
Detallado por el investigador de Elastic Security Gabriel Landau, la técnica es un ataque de manipulación de imágenes, que es algo similar a los ataques anteriores llamados Doppelgänging y Herpaderping.
“Con esta técnica, un atacante puede escribir una pieza de malware en el disco de tal manera que sea difícil de escanear o eliminar, y donde luego ejecuta el malware eliminado como si fuera un archivo normal en el disco. Esta técnica no implica la inyección de código., proceso de vaciado, o NTFS transaccional (TxF),"Landau dijo.
Explicación del proceso fantasma
Como ya se ha mencionado, Process Ghosting está relacionado con métodos de derivación de puntos finales anteriores llamados Doppelgänging y Herpaderping. Ambos métodos anteriores implican la inyección de código malicioso en el espacio de direcciones del proceso activo de una aplicación legítima.. Luego, el código podría ejecutarse desde la aplicación confiable.
Proceso Herpaderping, en particular, está relacionado con un método que oscurece el comportamiento de un proceso en ejecución al modificar el ejecutable en el disco después de que la imagen se haya mapeado en la memoria. Esto es posible debido a una brecha entre el momento en que se crea el proceso y el momento en que se notifica a un producto de seguridad sobre su creación.. Esto les da a los autores de malware una ventana de tiempo para manipular el ejecutable antes de que sea escaneado por el programa de seguridad..
“Podemos basarnos en Doppelgänging y Herpaderping para ejecutar ejecutables que ya se han eliminado," Landau explicó. Process Ghosting utiliza el hecho de que el sistema operativo Windows intenta evitar que los ejecutables asignados se modifiquen o eliminen solo después de que el binario se asigne a una sección de imagen.
“Esto significa que es posible crear un archivo, marcarlo para borrarlo, mapearlo a una sección de imagen, cierre el identificador del archivo para completar la eliminación, luego crea un proceso desde la sección ahora sin archivos,” el investigador añadió. Esto está en el corazón de Process Ghosting.
Estos son los pasos que requiere Process Ghosting para su ejecución:
- Crea un archivo
- Coloque el archivo en un estado pendiente de eliminación mediante NtSetInformationFile(FileDispositionInformation).
- Nota: Intentar utilizar FILE_DELETE_ON_CLOSE en su lugar no eliminará el archivo.
- Escriba el ejecutable de la carga útil en el archivo. El contenido no se conserva porque el archivo ya está pendiente de eliminación. El estado pendiente de eliminación también bloquea los intentos de apertura de archivos externos.
Crea una sección de imagen para el archivo..- Cerrar el identificador pendiente de eliminación, borrar el archivo.
- Crea un proceso usando la sección de imagen.
- Asignar argumentos de proceso y variables de entorno.
- Crea un hilo para ejecutar en el proceso.
Elastic Search también proporcionó una demostración de prueba de concepto que detalla un escenario en el que Windows Defender intenta abrir un ejecutable de carga útil malicioso. El programa no puede escanearlo porque el archivo está en un estado pendiente de eliminación. Luego vuelve a fallar porque el archivo ya está eliminado. Esto permite que se ejecute sin obstáculos..
La técnica se informó al Centro de respuesta de seguridad de Microsoft en mayo 2021. Sin embargo, el fabricante de Windows dijo que el problema no cumple con su estándar de servicio. Cabe destacar que la técnica Process Herpaderping obtuvo una respuesta similar cuando se dio a conocer en julio del año pasado..
Otras técnicas de evasión que utilizan los autores de malware
En diciembre 2020, Los investigadores de seguridad informaron que un nuevo servicio malicioso está permitiendo a los ciberdelincuentes mejorar sus mecanismos de evasión de detección. Llamado ofuscación-como-servicio, el servicio muestra cuán “robusta es la economía del cibercriminal,”Como lo señaló la autora colaboradora de DarkReading, Ericka Chickowski.
La plataforma de ofuscación como servicio se demostró durante la Botconf 2020 conferencia virtual. Los piratas informáticos lograron desarrollar una plataforma de servicio totalmente automatizada que protege los kits de paquetes de Android de malware móvil (APK) de detección AV. El servicio está disponible como pago único o suscripción mensual recurrente.. Está traducido al inglés y al ruso., y ha estado abierto durante al menos seis meses este año, o tal vez más.
En Mayo 2019, Akamai describió el llamado técnica de evasión de retraso en el crecimiento de cifrado, basado en SSL / TLS firma aleatorización. Poco dicho, cibercriminales se asignaron al azar a SSL firmas / TLS en su intento de evitar ser detectados.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: