Des chercheurs en sécurité ont découvert une nouvelle technique malveillante qui aide les logiciels malveillants à se soustraire à un système infecté. Appelé Process Ghosting, la technique pourrait être exploitée par un acteur malveillant pour contourner les protections de sécurité et exécuter du code malveillant sur un système Windows.
en relation: Siloscape: le premier malware à cibler les conteneurs Windows Server
Détaillé par Gabriel Landau, chercheur en sécurité élastique, la technique est une attaque de falsification d'image, qui est quelque peu similaire aux attaques précédentes appelées Doppelgänging et Herpaderping.
« Avec cette technique, un attaquant peut écrire un malware sur le disque de manière à ce qu'il soit difficile de l'analyser ou de le supprimer - et où il exécute ensuite le malware supprimé comme s'il s'agissait d'un fichier ordinaire sur le disque. Cette technique n'implique pas d'injection de code, processus de creusement, ou NTFS transactionnel (TxF)," a déclaré Landau.
Fantôme de processus expliqué
Comme déjà mentionné, Process Ghosting est lié aux précédentes méthodes de contournement des points de terminaison appelées Doppelgänging et Herpaderping. Les deux méthodes précédentes impliquent l'injection de code malveillant dans l'espace d'adressage du processus en direct d'une application légitime. Le code pourrait ensuite être exécuté à partir de l'application de confiance.
Processus Herpaderping, en particulier, est lié à une méthode qui masque le comportement d'un processus en cours d'exécution en modifiant l'exécutable sur le disque après que l'image a été mappée en mémoire. Ceci est possible en raison d'un décalage entre le moment où le processus est créé et le moment où un produit de sécurité est informé de sa création. Cela donne aux auteurs de logiciels malveillants une fenêtre de temps pour falsifier l'exécutable avant qu'il ne soit analysé par le programme de sécurité.
« Nous pouvons nous appuyer sur Doppelgänging et Herpaderping pour exécuter des exécutables qui ont déjà été supprimés," Landau a expliqué. Process Ghosting utilise le fait que le système d'exploitation Windows tente d'empêcher la modification ou la suppression des exécutables mappés uniquement après le mappage du binaire dans une section d'image.
“Cela signifie qu'il est possible de créer un fichier, marquer pour suppression, mappez-le à une section d'image, fermez le descripteur de fichier pour terminer la suppression, puis créez un processus à partir de la section maintenant sans fichier,” a ajouté le chercheur. C'est au cœur de Process Ghosting.
Ce sont les étapes requises par Process Ghosting pour son exécution:
- Créer un fichier
- Mettez le fichier dans un état en attente de suppression à l'aide de NtSetInformationFile(FichierDispositionInformation).
- Note: Tenter d'utiliser FILE_DELETE_ON_CLOSE à la place ne supprimera pas le fichier.
- Écrire l'exécutable de la charge utile dans le fichier. Le contenu n'est pas conservé car le fichier est déjà en attente de suppression. L'état en attente de suppression bloque également les tentatives d'ouverture de fichiers externes.
Créer une section image pour le fichier.- Fermez la poignée de suppression en attente, suppression du fichier.
- Créer un processus à l'aide de la section image.
- Attribuer des arguments de processus et des variables d'environnement.
- Créer un thread à exécuter dans le processus.
Elastic Search a également fourni une démonstration de validation qui détaille un scénario de Windows Defender tentant d'ouvrir un exécutable de charge utile malveillant. Le programme ne parvient pas à l'analyser car le fichier est dans un état en attente de suppression. Ensuite, il échoue à nouveau car le fichier est déjà supprimé. Cela permet de l'exécuter sans entrave.
La technique a été signalée au Microsoft Security Response Center en mai 2021. Cependant, le fabricant de Windows a déclaré que le problème ne répondait pas à sa barre pour l'entretien. Il est à noter que la technique Process Herpaderping a obtenu une réponse similaire lorsqu'elle a été divulguée en juillet de l'année dernière..
Autres techniques d'évasion utilisées par les auteurs de logiciels malveillants
En décembre 2020, des chercheurs en sécurité ont signalé qu'un nouveau service malveillant permet aux cybercriminels d'améliorer leurs mécanismes d'évasion de détection. Appelé obscurcissement en tant que service, le service montre à quel point «l'économie cybercriminelle est robuste,»Comme l'a souligné Ericka Chickowski, auteur contributeur de DarkReading.
La plate-forme d'obscurcissement en tant que service a été démontrée lors de la Botconf 2020 conférence virtuelle. Les pirates ont réussi à développer une plate-forme de service entièrement automatisée qui protège les kits de paquets Android contre les logiciels malveillants mobiles (APK) de la détection AV. Le service est disponible sous forme de paiement unique ou d'abonnement mensuel récurrent. Il est traduit en anglais et en russe, et est ouvert depuis au moins six mois cette année, ou peut-être plus.
En mai 2019, Akamai a décrit la soi-disant technique d'évasion de retard de chiffrement, basé sur la signature randomization SSL / TLS. Peu dit, les cybercriminels signatures SSL randomisation / TLS dans leur tentative d'échapper à la détection.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: