Forscher entdecken “Process Ghosting” – eine neue Malware-Umgehungstechnik

Cyber Security News

Cybersecurity-Forscher haben einen neuen Angriff zur Manipulation von ausführbaren Images mit dem Namen “Process Ghosting” aufgedeckt, der von einem Angreifer missbraucht werden könnte, um Schutzmaßnahmen zu umgehen und heimlich bösartigen Code auf einem Windows-System auszuführen.

“Mit dieser Technik kann ein Angreifer ein Stück Malware so auf die Festplatte schreiben, dass es schwierig ist, es zu scannen oder zu löschen – und wo er dann die gelöschte Malware ausführt, als wäre sie eine normale Datei auf der Festplatte”, sagte der Elastic Security-Forscher Gabriel Landau. “Diese Technik beinhaltet keine Code-Injektion, Process Hollowing oder Transactional NTFS (TxF).”

[Blocked Image: https://thehackernews.com/images/-SHhZpiutqII/YMIYLGPR25I/AAAAAAAA4F8/zoyJvauI4nck4rK7620j0TmEt5cM4GJnQCLcBGAsYHQ/s728-e100/1-728-6.png]

Process Ghosting erweitert die bereits dokumentierten Methoden zur Umgehung von Endpunkten, wie Process Doppelgänging und Process Herpaderping, und ermöglicht so die verschleierte Ausführung von bösartigem Code, der die Anti-Malware-Abwehr und -Erkennung umgehen kann.

Process Doppelgänging, analog zu Process Hollowing, beinhaltet das Einschleusen von beliebigem Code in den Adressraum des Live-Prozesses einer legitimen Anwendung, der dann vom vertrauenswürdigen Dienst ausgeführt werden kann. Process Herpaderping, das erstmals im Oktober letzten Jahres beschrieben wurde, beschreibt eine Methode, das Verhalten eines laufenden Prozesses zu verschleiern, indem die ausführbare Datei auf der Festplatte geändert wird, nachdem das Image im Speicher abgebildet wurde.

Die Umgehung funktioniert aufgrund “einer Lücke zwischen dem Zeitpunkt, an dem ein Prozess erstellt wird, und dem Zeitpunkt, an dem Sicherheitsprodukte über seine Erstellung benachrichtigt werden”, wodurch Malware-Entwickler ein Zeitfenster erhalten, um die ausführbare Datei zu manipulieren, bevor Sicherheitsprodukte sie scannen können.

[Blocked Image: https://thehackernews.com/images/-5oHL_dpa_7M/YMr8uIKncaI/AAAAAAAAC5I/phpvULA4VIIKvpfmccprveyhMMIj_EWuwCLcBGAsYHQ/s728-e1000/malware-attack.jpg]

Process Ghosting geht einen Schritt weiter als Doppelgänging und Herpaderping, indem es ermöglicht, bereits gelöschte ausführbare Dateien auszuführen. Es macht sich die Tatsache zunutze, dass die Versuche von Windows, gemappte ausführbare Dateien am Ändern oder Löschen zu hindern, erst dann wirksam werden, wenn die Binärdatei in einen Image-Bereich gemappt wird.

“Das bedeutet, dass es möglich ist, eine Datei zu erstellen, sie zum Löschen zu markieren, sie in einen Image-Abschnitt zu mappen, das Datei-Handle zu schließen, um die Löschung abzuschließen, und dann einen Prozess aus dem nun dateilosen Abschnitt zu erstellen”, erklärt Landau. “Das ist Process Ghosting.”

In einer Proof-of-Concept (PoC)-Demo haben die Forscher ein Szenario beschrieben, in dem Windows Defender versucht, eine bösartige Nutzdatei zu öffnen, um sie zu scannen, was aber fehlschlägt, weil sich die Datei in einem “Delete-Pending”-Status befindet, und dann erneut fehlschlägt, weil die Datei bereits gelöscht ist und somit ungehindert ausgeführt werden kann.

Elastic Security meldete das Problem im Mai 2021 an das Microsoft Security Response Center (MSRC), woraufhin der Windows-Hersteller sagte, das Problem erfülle “nicht die Anforderungen für eine Wartung”, was einer ähnlichen Reaktion entspricht, als Process Herpaderping im Juli 2020 an das MSRC gemeldet wurde.

[Blocked Image: https://thehackernews.com/images/-c9dgmAKoN_s/YLy9MwSA5HI/AAAAAAAA4BI/hJfAZal3vaMbpnSbjpBWkZ-bT_62BsztwCLcBGAsYHQ/s728-e100/auth_728.jpg]

Microsoft seinerseits hat Anfang Januar dieses Jahres eine aktualisierte Version seiner Sysinternals Suite mit einem verbesserten System Monitor (aka Sysmon) Dienstprogramm veröffentlicht, das bei der Erkennung von Process Herpaderping und Process Hollowing Angriffen hilft.

Als Ergebnis können die Sysmon-Versionen 13.00 (und später) nun die “Event ID 25” generieren und protokollieren, wenn ein Stück Malware einen legitimen Prozess manipuliert und wenn ein Prozess-Image von einem anderen Prozess geändert wird. Microsoft merkt an, dass das Ereignis ausgelöst wird, “wenn das gemappte Image eines Prozesses nicht mit der Image-Datei auf der Festplatte übereinstimmt oder die Image-Datei für exklusiven Zugriff gesperrt ist.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com