I ricercatori di sicurezza hanno scoperto una nuova tecnica dannosa che aiuta il malware a raggiungere l'evasione su un sistema infetto. Chiamato Process Ghosting, la tecnica potrebbe essere sfruttata da un attore di minacce per aggirare le protezioni di sicurezza ed eseguire codice dannoso su un sistema Windows.
Correlata: Siloscape: il primo malware a prendere di mira i contenitori di Windows Server
Dettagliato dal ricercatore di Elastic Security Gabriel Landau, la tecnica è un attacco di manomissione dell'immagine, che è in qualche modo simile ai precedenti attacchi chiamati Doppelgänging e Herpaderping.
“Con questa tecnica, un utente malintenzionato può scrivere un malware su disco in modo tale che sia difficile scansionarlo o eliminarlo e dove quindi esegue il malware eliminato come se fosse un normale file su disco. Questa tecnica non prevede l'iniezione di codice, processo di svuotamento, o NTFS transazionale (TxF),"Ha detto Landau.
Spiegazione del ghosting del processo
Come già accennato, Process Ghosting è correlato ai precedenti metodi di bypass degli endpoint chiamati Doppelgänging e Herpaderping. Entrambi i metodi precedenti comportano l'iniezione di codice dannoso nello spazio degli indirizzi del processo live di un'app legittima. Il codice potrebbe quindi essere eseguito dall'app attendibile.
Processo Herpaderping, in particolare, è correlato a un metodo che oscura il comportamento di un processo in esecuzione modificando l'eseguibile su disco dopo che l'immagine è stata mappata in memoria. Ciò è possibile a causa di un intervallo tra il momento in cui viene creato il processo e il momento in cui viene notificata la creazione di un prodotto di sicurezza. Ciò offre agli autori di malware una finestra temporale per manomettere l'eseguibile prima che venga scansionato dal programma di sicurezza.
“Possiamo basarci su Doppelgänging e Herpaderping per eseguire eseguibili che sono già stati eliminati," Landau ha spiegato. Process Ghosting sfrutta il fatto che il sistema operativo Windows tenta di impedire che gli eseguibili mappati vengano modificati o eliminati solo dopo che il binario è stato mappato in una sezione dell'immagine.
“Ciò significa che è possibile creare un file, contrassegnalo per l'eliminazione, mappalo su una sezione di immagine, chiudi l'handle del file per completare la cancellazione, quindi creare un processo dalla sezione ora senza file,” il ricercatore ha aggiunto. Questo è il cuore di Process Ghosting.
Questi sono i passaggi che Process Ghosting richiede per la sua esecuzione:
- Crea un file
- Metti il file in uno stato in attesa di eliminazione usando NtSetInformationFile(Informazioni sulla disposizione dei file).
- Nota: Il tentativo di utilizzare FILE_DELETE_ON_CLOSE invece non cancellerà il file.
- Scrivi l'eseguibile del payload nel file. Il contenuto non viene mantenuto perché il file è già in attesa di eliminazione. Lo stato in attesa di eliminazione blocca anche i tentativi di apertura di file esterni.
Crea una sezione immagine per il file.- Chiudi la maniglia in attesa di eliminazione, cancellare il file.
- Crea un processo usando la sezione immagine.
- Assegna argomenti di processo e variabili d'ambiente.
- Crea un thread da eseguire nel processo.
Elastic Search ha anche fornito una demo di prova che descrive in dettaglio uno scenario di Windows Defender che tenta di aprire un eseguibile di payload dannoso. Il programma non riesce a scansionarlo perché il file è in uno stato in attesa di eliminazione. Quindi fallisce di nuovo poiché il file è già stato eliminato. Ciò consente di eseguirlo senza ostacoli.
La tecnica è stata segnalata al Microsoft Security Response Center a maggio 2021. Tuttavia, il produttore di Windows ha affermato che il problema non soddisfa i requisiti per la manutenzione. È interessante notare che la tecnica Process Herpaderping ha ottenuto una risposta simile quando è stata divulgata nel luglio dello scorso anno.
Altre tecniche di elusione utilizzate dagli autori di malware
In dicembre 2020, ricercatori di sicurezza hanno riferito che un nuovo servizio dannoso consente ai criminali informatici di migliorare i propri meccanismi di elusione di rilevamento. Chiamato offuscamento-come-servizio, il servizio mostra quanto sia “robusta l'economia dei criminali informatici,"Come sottolineato dall'autore di DarkReading Ericka Chickowski.
La piattaforma offuscation-as-a-service è stata dimostrata durante il Botconf 2020 conferenza virtuale. Gli hacker sono riusciti a sviluppare una piattaforma di servizi completamente automatizzata che protegge i kit di pacchetti Android dal malware mobile (APK) dal rilevamento AV. Il servizio è disponibile come pagamento una tantum o come abbonamento mensile ricorrente. È tradotto in inglese e russo, ed è stato aperto per almeno sei mesi quest'anno, o forse più a lungo.
A maggio 2019, Akamai descrisse il cosiddetto tecnica di evasione dell'arresto della crescita del codice, basata su SSL / TLS firma randomizzazione. Poco detto, i criminali informatici stanno randomizzazione SSL / TLS firme nel loro tentativo di eludere il rilevamento.