Современные киберугрозы становятся все более сложными и изощренными. Один из недавно наблюдаемых методов, известный как Process Doppelgnging, позволяет злоумышленникам внедрять вредоносный код в легитимные процессы, оставаясь незамеченными антивирусными программами и системами безопасности.
Что такое дублирование процессов?
Дублирование процессов — это метод, использующий механизмы загрузки процессов Windows и транзакционную функцию NTFS (TxF) для проведения атак. С помощью этого метода хакеры могут перезаписывать память законного процесса вредоносным кодом, не оставляя следов на диске. Ключевыми этапами технологии дублирования процессов являются:
- Создание транзакции TxF с использованием существующего легитимного исполняемого файла.
- Перезапись этого файла вредоносной полезной нагрузкой.
- Изоляция изменений от контекста транзакции до их фиксации.
- Установка общего раздела памяти для загрузки вредоносного кода.
- Откат транзакции, удаляющей вредоносный код из файловой системы, но сохранившей его активным в памяти.
- Возобновление легитимного процесса, под которым выполняется вредоносный код.
Известные вредоносные программы
Среди программ, использующих дублирование процессов, выделяются:
- GhostPulse — внедряет полезные функции, такие как NetSupport и SectopRAT.
- Группа LummaStealer развертывает LummaC2 с помощью IDAT Loader, который использует перехват порядка загрузки библиотеки DLL.
Связанные методы: Ghosting процессов
В дополнение к дублированию процессов появилась техника, известная как process ghosting. Этот метод позволяет злоумышленникам выполнять вредоносный код, создавая новый процесс, который не виден операционной системе до его активации. Примером является вредоносная программа CherryLoader, которая создает файл с флажком УДАЛЕНИЯ и вводит полученное содержимое в память до запуска нового процесса.
Выводы
Методы doppelgnging и ghosting представляют собой новые вызовы для систем безопасности, демонстрируя эволюцию атак. Эти подходы подчеркивают необходимость постоянного совершенствования стратегий обнаружения конечных точек и реагирования на инциденты. Как отметил один из экспертов в области кибербезопасности: «Необходимость в проактивных мерах становится более актуальной, чем когда-либо». В условиях растущих угроз защита от подобных атак требует детального анализа и внедрения инновационных решений.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Дублирование процессов: новые стратегии киберугроз".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.