Cisco, Fast Lane, Português, Security

Processo fantasma – ataque de adulteração de imagem executável

Como membro de uma equipe de segurança, qual a primeira solução que vem a cabeça quando o assunto é proteção contra executáveis maliciosos? Se você atua nessa área a tanto tempo quanto eu, muito provavelmente a sua resposta é antivírus. Se você está mais atualizado e quer ser um pouco menos generalista com relação a definições e terminologias, a resposta provavelmente seria anti-malware, afinal de contas, não é somente vírus que desejamos detectar, existem vários outros tipos de malware.

Para falar sobre esses outros tipos, vamos estabelecer uma linha de base de raciocínio e falar sobre sistemas Microsoft: o fabricante disponibiliza para fornecedores de soluções de segurança a habilidade de registrar chamadas a partir da criação de processos no sistema. Desenvolvedores de drivers podem chamar APIs como PsSetCreateProcessNotifyRoutineEx, uma rotina que registra ou remove a chamada que notifica quando um processo é criado ou já existe, para receber informações sobre esse tipo de evento. No entanto, há uma particularidade na chamada dessa rotina em específico, ela não é feita a partir da criação do processo, mas a partir da criação das primeiras threads do processo. Isso cria uma lacuna entre a criação do processo e a notificação dessa ação para a solução de segurança (o antivírus, por exemplo). Essa lacuna é utilizada por atores maliciosos que adulteram o executável de apoio antes da verificação/scan da sua solução de anti-malware.

Um exemplo de ataque que abusa deste comportamento para evasão de verificação de sistemas de segurança é o “Process Herpaderping“. Com essa técnica, um invasor pode gravar um malware no disco de forma que seja difícil verificá-lo ou excluí-lo, onde ele executa o malware excluído como se fosse um arquivo normal no disco. Essa técnica não envolve injeção de código, esvaziamento de processo ou NTFS transacional (TxF).

Veja uma demonstração.

Autor: Flavio Costa Cisco

¡Sea un experto certificado!

Si usted o su empresa quieren adelantarse a la competencia, asegúrese de que sus empleados estén certificados, calificados y altamente capacitados, Fast Lane lo ayuda a tener esta poderosa diferenciación. El conocimiento obtenido en las diferentes áreas principales es fundamental y puede tener un gran impacto en el crecimiento. Póngase en contacto con Fast Lane hoy mismo para obtener más información sobre cómo podemos ayudarlo a obtener su equipo y su certificación.

Síguenos
Instagram
LinkedIn
YouTube

Hacktivismo

Fast Lane en convenio con la Fundación Arte y Cultura Para el Desarrollo

Menu
Top