セキュリティ研究者は、マルウェアが感染したシステムで回避を達成するのに役立つ新しい悪意のある手法を発見しました. プロセスゴーストと呼ばれる, この手法は、セキュリティ保護を回避し、Windowsシステムで悪意のあるコードを実行するために脅威アクターによって悪用される可能性があります.
関連している: Siloscape: WindowsServerコンテナを標的とする最初のマルウェア
ElasticSecurityの研究者GabrielLandauによる詳細, テクニックは画像改ざん攻撃です, これは、DoppelgängingおよびHerpaderpingと呼ばれる以前の攻撃にいくぶん似ています.
「このテクニックで, 攻撃者は、スキャンや削除が困難な方法でマルウェアをディスクに書き込むことができます。その後、削除されたマルウェアを、ディスク上の通常のファイルであるかのように実行します。. この手法には、コードインジェクションは含まれません, プロセスのくぼみ, またはトランザクションNTFS (TxF),」ランダウは言った.
プロセスゴーストの説明
すでに述べたように, プロセスゴースティングは、DoppelgängingおよびHerpaderpingと呼ばれる以前のエンドポイントバイパスメソッドに関連しています. 以前の両方の方法では、正当なアプリのライブプロセスのアドレス空間に悪意のあるコードを挿入します. その後、信頼できるアプリからコードを実行できます.
ハーパダーピングを処理する, 特に, イメージがメモリにマップされた後、ディスク上の実行可能ファイルを変更することにより、実行中のプロセスの動作を不明瞭にするメソッドに関連しています. これは、プロセスが作成されてからセキュリティ製品にその作成が通知されるまでの間にギャップがあるために発生する可能性があります。. これにより、マルウェアの作成者は、セキュリティプログラムによってスキャンされる前に、実行可能ファイルを改ざんするための時間枠が与えられます。.
「DoppelgängingとHerpaderpingに基づいて、すでに削除された実行可能ファイルを実行できます。,」 ランダウは説明した. プロセスゴーストは、バイナリがイメージセクションにマップされた後にのみ、WindowsOSがマップされた実行可能ファイルが変更または削除されないようにするという事実を使用します.
“これは、ファイルを作成できることを意味します, 削除のマークを付ける, 画像セクションにマッピングします, ファイルハンドルを閉じて削除を完了します, 次に、ファイルのないセクションからプロセスを作成します,” 研究者は付け加えた. これはプロセスゴーストの中心です.
これらは、ProcessGhostingが実行に必要な手順です。:
- ファイルを作成する
- NtSetInformationFileを使用して、ファイルを削除保留状態にします(FileDispositionInformation).
- ノート: 代わりにFILE_DELETE_ON_CLOSEを使用しようとしても、ファイルは削除されません。.
- ペイロード実行可能ファイルをファイルに書き込みます. ファイルがすでに削除保留中であるため、コンテンツは永続化されません. 削除保留状態は、外部のファイルを開く試みもブロックします.
ファイルの画像セクションを作成します.- 削除保留ハンドルを閉じます, ファイルを削除する.
- 画像セクションを使用してプロセスを作成します.
- プロセス引数と環境変数を割り当てます.
- プロセスで実行するスレッドを作成します.
Elastic Searchは、悪意のあるペイロードの実行可能ファイルを開こうとするWindowsDefenderのシナリオを詳しく説明する概念実証デモも提供しました。. ファイルが削除保留状態にあるため、プログラムはスキャンに失敗します. その後、ファイルがすでに削除されているため、再び失敗します. これにより、妨げられることなく実行できます.
この手法は、5月にMicrosoft SecurityResponseCenterに報告されました。 2021. でも, Windowsメーカーは、この問題はサービスの基準を満たしていない、と述べた. 昨年7月に公開されたとき、ProcessHerpaderpingテクニックが同様の反応を示したことは注目に値します。.
マルウェア作成者が使用するその他の回避手法
12月中 2020, セキュリティ研究者は、新しい悪意のあるサービスにより、サイバー犯罪者が検出回避メカニズムを改善できるようになっていると報告しました. と呼ばれる サービスとしての難読化, このサービスは、「サイバー犯罪経済がいかに堅牢であるかを示しています,DarkReadingの寄稿者であるErickaChickowskiが指摘したように.
サービスとしての難読化プラットフォームは、Botconfで実証されました 2020 バーチャルカンファレンス. ハッカーは、モバイルマルウェアのAndroidパケットキットを保護する完全に自動化されたサービスプラットフォームの開発に成功しました (APK) AV検出から. このサービスは、1回限りの支払いまたは定期的な月額サブスクリプションとして利用できます. 英語とロシア語に翻訳されています, 今年は少なくとも6か月間営業しています, または多分もっと長い.
5月 2019, アカマイは、いわゆる 暗号発育阻害回避技術, SSL/TLS署名のランダム化に基づく. すぐに言った, サイバー犯罪者は、検出を回避するためにSSL/TLSシグネチャをランダム化しています.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: