Pesquisadores da empresa de segurança cibernética Elastic Security descobriram uma nova tática de hacking usada por cibercriminosos para escapar das detecções de segurança que faz uso da adulteração de imagem para implantar código malicioso furtivamente em um sistema Windows.
Denominada process ghosting, a técnica utiliza um executável que altera a imagem. Ela tem algumas semelhanças com métodos de endpoint, como Doppelgänging e Herpaderping. O process ghosting aproveita códigos maliciosos ocultos para escapar das defesas e detecção antimalware.
“Com essa técnica, um invasor pode gravar um malware no disco de forma que seja difícil fazer a varredura ou excluí-lo e, em seguida, executa o malware excluído como se fosse um arquivo normal no disco. Essa técnica não envolve injeção de código, esvaziamento de processo ou NTFS transacional (TxF)”, disse a Elastic Security em um relatório.
“Há uma lacuna entre quando um processo é criado e quando os produtos de segurança são notificados de sua criação, dando aos desenvolvedores de malware uma janela para adulterar o executável antes que os produtos de segurança possam verificá-lo”, completa a empresa.
Veja isso
Descoberto malware que ataca contêiner de Windows
MS Teams podia ser invadido com a ajuda de uma imagem GIF
Em um vídeo de demonstração de prova de conceito (PoC), os pesquisadores detalharam como o Windows Defender tentou inicialmente abrir o executável de carga útil para digitalizá-lo, mas continuava falhando porque o arquivo estava com o estado de exclusão pendente. As tentativas posteriores de abri-lo também falharam porque o arquivo já havia sido excluído. A carga útil (ghost.exe) foi executada sem problemas.
“Detectamos uma variedade de técnicas de adulteração de imagem de processo, incluindo Doppelgänging, Herpaderping e Ghosting. Ele faz isso verificando o FILE_OBJECT quanto a anormalidades durante o retorno de chamada de criação do processo. Eles são relatados em eventos de criação de processo em process.Ext.defense_evasions”, acrescentou a Elastic Security.