Como membro de uma equipe de segurança, qual a primeira solução que vem a cabeça quando o assunto é proteção contra executáveis maliciosos? Se você atua nessa área a tanto tempo quanto eu, muito provavelmente a sua resposta é antivírus. Se você está mais atualizado e quer ser um pouco menos generalista com relação a definições e terminologias, a resposta provavelmente seria anti-malware, afinal de contas, não é somente vírus que desejamos detectar, existem vários outros tipos de malware.
Para falar sobre esses outros tipos, vamos estabelecer uma linha de base de raciocínio e falar sobre sistemas Microsoft: o fabricante disponibiliza para fornecedores de soluções de segurança a habilidade de registrar chamadas a partir da criação de processos no sistema. Desenvolvedores de drivers podem chamar APIs como PsSetCreateProcessNotifyRoutineEx, uma rotina que registra ou remove a chamada que notifica quando um processo é criado ou já existe, para receber informações sobre esse tipo de evento. No entanto, há uma particularidade na chamada dessa rotina em específico, ela não é feita a partir da criação do processo, mas a partir da criação das primeiras threads do processo. Isso cria uma lacuna entre a criação do processo e a notificação dessa ação para a solução de segurança (o antivírus, por exemplo). Essa lacuna é utilizada por atores maliciosos que adulteram o executável de apoio antes da verificação/scan da sua solução de anti-malware.
Um exemplo de ataque que abusa deste comportamento para evasão de verificação de sistemas de segurança é o “Process Herpaderping“. Com essa técnica, um invasor pode gravar um malware no disco de forma que seja difícil verificá-lo ou excluí-lo, onde ele executa o malware excluído como se fosse um arquivo normal no disco. Essa técnica não envolve injeção de código, esvaziamento de processo ou NTFS transacional (TxF).
