Os pesquisadores de segurança descobriram uma nova técnica maliciosa que ajuda o malware a conseguir evasão em um sistema infectado. Chamado Process Ghosting, a técnica pode ser explorada por um agente de ameaça para contornar as proteções de segurança e executar código malicioso em um sistema Windows.
relacionado: Siloscape: o primeiro malware a atingir contêineres do Windows Server
Detalhado pelo pesquisador da Elastic Security Gabriel Landau, a técnica é um ataque de adulteração de imagem, que é um pouco semelhante a ataques anteriores chamados Doppelgänging e Herpaderping.
“Com esta técnica, um invasor pode gravar um malware no disco de forma que seja difícil fazer a varredura ou excluí-lo - e onde ele executa o malware excluído como se fosse um arquivo normal no disco. Esta técnica não envolve injeção de código, esvaziamento do processo, ou NTFS transacional (TxF),”Landau disse.
Explicação do fantasma do processo
Como já mencionado, Process Ghosting está relacionado a métodos de desvio de endpoint anteriores chamados Doppelgänging e Herpaderping. Ambos os métodos anteriores envolvem a injeção de código malicioso no espaço de endereço de um processo ativo de um aplicativo legítimo. O código pode então ser executado a partir do aplicativo confiável.
Process Herpaderping, em particular, está relacionado a um método que obscurece o comportamento de um processo em execução, modificando o executável no disco após a imagem ter sido mapeada na memória. Isso é possível devido a uma lacuna entre o momento em que o processo é criado e o momento em que um produto de segurança é notificado de sua criação. Isso dá aos autores de malware uma janela de tempo para adulterar o executável antes de ser verificado pelo programa de segurança.
“Podemos construir sobre Doppelgänging e Herpaderping para executar executáveis que já foram excluídos,” Landau explicou. Process Ghosting usa o fato de que o sistema operacional Windows tenta impedir que executáveis mapeados sejam modificados ou excluídos somente depois que o binário é mapeado em uma seção de imagem.
“Isso significa que é possível criar um arquivo, marque para exclusão, mapeie-o para uma seção de imagem, feche o identificador do arquivo para concluir a exclusão, em seguida, crie um processo a partir da seção agora sem arquivo,” o pesquisador acrescentou. Este é o cerne do Process Ghosting.
Estas são as etapas que o Process Ghosting requer para sua execução:
- Crie um arquivo
- Coloque o arquivo em um estado de exclusão pendente usando NtSetInformationFile(FileDispositionInformation).
- Nota: Tentar usar FILE_DELETE_ON_CLOSE em vez disso não excluirá o arquivo.
- Grave o executável de carga útil no arquivo. O conteúdo não é mantido porque o arquivo já está com exclusão pendente. O estado de exclusão pendente também bloqueia tentativas externas de abertura de arquivo.
Crie uma seção de imagem para o arquivo.- Feche o identificador de exclusão pendente, deletando o arquivo.
- Crie um processo usando a seção de imagem.
- Atribuir argumentos de processo e variáveis de ambiente.
- Crie um thread para executar no processo.
O Elastic Search também forneceu uma demonstração de prova de conceito que detalha um cenário do Windows Defender tentando abrir um executável de carga útil malicioso. O programa falha ao fazer a varredura porque o arquivo está em um estado de exclusão pendente. Em seguida, ele falha novamente, pois o arquivo já foi excluído. Isso permite que seja executado sem entraves.
A técnica foi relatada ao Centro de Resposta de Segurança da Microsoft em maio 2021. Contudo, o fabricante do Windows disse que o problema não atende aos requisitos de manutenção. Vale ressaltar que a técnica de Process Herpaderping obteve uma resposta semelhante quando foi divulgada em julho do ano passado.
Outras técnicas de evasão uso de autores de malware
Em dezembro 2020, pesquisadores de segurança relataram que um novo serviço malicioso está permitindo que os cibercriminosos melhorem seus mecanismos de evasão de detecção. Chamado ofuscação como serviço, o serviço mostra quão “robusta é a economia do cibercriminoso,”Conforme apontado pela autora contribuinte do DarkReading, Ericka Chickowski.
A plataforma de ofuscação como serviço foi demonstrada durante o Botconf 2020 conferência virtual. Os hackers tiveram sucesso no desenvolvimento de uma plataforma de serviço totalmente automatizada que protege malware móvel Android Packet Kits (APKs) de detecção de AV. O serviço está disponível como um pagamento único ou uma assinatura mensal recorrente. É traduzido para inglês e russo, e está aberto há pelo menos seis meses este ano, ou talvez mais.
Em maio 2019, Akamai descreveu o chamado técnica de evasão de nanismo cifrado, com base na randomização de assinatura SSL / TLS. disse brevemente, os cibercriminosos estão randomizando assinaturas SSL / TLS em sua tentativa de evitar a detecção.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: