Beveiligingsonderzoekers hebben een nieuwe kwaadaardige techniek ontdekt die malware helpt om op een geïnfecteerd systeem te ontwijken. Proces Ghosting genoemd, de techniek kan worden misbruikt door een dreigingsactor om beveiligingsmaatregelen te omzeilen en kwaadaardige code op een Windows-systeem uit te voeren.
Verwant: Siloscape: de eerste malware die zich richt op Windows Server-containers
Gedetailleerd door Elastic Security-onderzoeker Gabriel Landau, de techniek is een aanval met beeldmanipulatie, die enigszins lijkt op eerdere aanvallen genaamd Doppelgänging en Herpaderping.
“Met deze techniek, een aanvaller kan een stukje malware op schijf schrijven zodat het moeilijk te scannen of te verwijderen is - en waar het vervolgens de verwijderde malware uitvoert alsof het een gewoon bestand op schijf is. Deze techniek omvat geen code-injectie, proces uitholling, of Transactionele NTFS (TxF)," zei Landauau.
Process Ghosting uitgelegd Explain
Zoals reeds gezegd, Process Ghosting is gerelateerd aan eerdere endpoint bypass-methoden genaamd Doppelgänging en Herpaderping. Beide eerdere methoden omvatten de injectie van kwaadaardige code in de adresruimte van het live-proces van een legitieme app. De code kan dan worden uitgevoerd vanuit de vertrouwde app.
Herpaderping verwerken, in het bijzonder, is gerelateerd aan een methode die het gedrag van een lopend proces verdoezelt door het uitvoerbare bestand op schijf te wijzigen nadat de afbeelding in het geheugen is toegewezen. Dit is mogelijk vanwege een tijdsverschil tussen het moment waarop het proces is gemaakt en het moment waarop een beveiligingsproduct op de hoogte wordt gesteld van de creatie ervan. Dit geeft malware-auteurs een tijdvenster om met het uitvoerbare bestand te knoeien voordat het wordt gescand door het beveiligingsprogramma.
"We kunnen voortbouwen op Doppelgänging en Herpaderping om uitvoerbare bestanden uit te voeren die al zijn verwijderd," Landau uitgelegd. Process Ghosting maakt gebruik van het feit dat het Windows-besturingssysteem probeert te voorkomen dat toegewezen uitvoerbare bestanden pas worden gewijzigd of verwijderd nadat het binaire bestand is toegewezen aan een afbeeldingssectie.
“Dit betekent dat het mogelijk is om een bestand aan te maken, markeer het voor verwijdering, wijs het toe aan een afbeeldingssectie, sluit de bestandshandle om het verwijderen te voltooien, maak vervolgens een proces van de nu bestandsloze sectie,” de onderzoeker toegevoegde. Dit vormt de kern van Process Ghosting.
Dit zijn de stappen die Process Ghosting nodig heeft voor de uitvoering ervan:
- Maak een bestand
- Zet het bestand in een status die wacht op verwijderen met behulp van NtSetInformationFile(BestandDispositionInformatie).
- Aantekening: Als u in plaats daarvan FILE_DELETE_ON_CLOSE probeert te gebruiken, wordt het bestand niet verwijderd.
- Schrijf het uitvoerbare bestand naar het bestand. De inhoud wordt niet bewaard omdat het bestand al in behandeling is voor verwijdering. De status in afwachting van verwijderen blokkeert ook pogingen om externe bestanden te openen.
Maak een afbeeldingssectie voor het bestand.- Sluit de greep die in behandeling is voor verwijderen, het bestand verwijderen.
- Maak een proces met behulp van de afbeeldingssectie.
- Procesargumenten en omgevingsvariabelen toewijzen.
- Maak een thread om tijdens het proces uit te voeren.
Elastic Search leverde ook een proof-of-concept-demo waarin een scenario wordt beschreven waarin Windows Defender probeert een kwaadaardig uitvoerbaar bestand te openen. Het programma kan het niet scannen omdat het bestand zich in de status 'verwijderen in afwachting' bevindt. Dan mislukt het opnieuw omdat het bestand al is verwijderd. Hierdoor kan het ongehinderd worden uitgevoerd.
De techniek is in mei gerapporteerd aan het Microsoft Security Response Center 2021. Echter, de Windows-maker zei dat het probleem niet voldoet aan hun lat voor onderhoud. Het is opmerkelijk dat de Process Herpaderping-techniek een vergelijkbare reactie kreeg toen deze in juli vorig jaar werd onthuld disclosed.
Andere ontwijkingstechnieken die malware-auteurs gebruiken
In december 2020, beveiligingsonderzoekers meldden dat een nieuwe kwaadaardige service cybercriminelen in staat stelt hun detectie-ontwijkingsmechanismen te verbeteren. Gebeld verduistering-als-een-service, de dienst laat zien hoe “robuust de economie van cybercriminelen is,”Zoals opgemerkt door DarkReading bijdragende auteur Ericka Chickowski.
Het obfuscation-as-a-service platform werd gedemonstreerd tijdens de Botconf 2020 virtuele conferentie. Hackers zijn erin geslaagd een volledig geautomatiseerd serviceplatform te ontwikkelen dat mobiele malware Android Packet Kits beschermt (APK) van AV-detectie. De service is beschikbaar als eenmalige betaling of als een maandelijks terugkerend abonnement. Het is vertaald in het Engels en Russisch, en is dit jaar minimaal zes maanden open, of misschien langer.
In mei 2019, Akamai beschreef de zogenaamde cipher dwerggroei ontwijkingstechniek, op basis van SSL / TLS handtekening randomisatie. Kort gezegd, cybercriminelen randomizing SSL / TLS handtekeningen in hun poging om detectie te vermijden.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: