Aggiornamenti recenti Settembre 17th, 2024 9:58 AM
Giu 17, 2021 Marco Schiaffino In evidenza, Malware, News, RSS, Vulnerabilità 0
Le tecniche di offuscamento che puntano ad aggirare i sistemi di scansione antivirus sono piuttosto rare e si basano, principalmente, sull’uso di rootkit.
Quella individuata da Gabriel Landau, ricercatore presso Elastic Security, adotta però un approccio diverso, che prende le mosse da alcune tecniche conosciute portandole a un livello superiore di efficacia.
Per farlo, la tecnica sfrutta le peculiarità del sistema di gestione della memoria su Windows e in particolare il gap di tempo presente tra la creazione del processo e la notifica della stessa all’antivirus.
Battezzata con il nome di Process Ghosting, la strategia messa a punto dal ricercatore è simile (almeno concettualmente) ad altri due sistemi di evasione: Process Doppelgänging e Process HerpaderpingProcess.
Entrambi permettono di avviare file eseguibili che sono già stati cancellati. Una possibilità legata alla modalità con cui i processi (e i singoli thread) vengono creati in Windows, cioè attraverso una sezione di immagine parziale del file eseguibile che li avvia.
Il tutto viene spiegato in dettaglio da Landau nel report che il ricercatore ha pubblicato su Internet.
La strategia adottata con Process Ghosting, in pratica è quella di copiare un file sul sistema, marcarlo come file in corso di eliminazione, mappare la sezione di immagine, chiudere il file per completarne l’eliminazione e a questo punto creare il processo fileless.
Nella video-demo inserita nel report, Landau mostra come l’antivirus cerchi di analizzare l’eseguibile malevolo, ma il processo non vada a buon fine perché il file è marcato come in via di eliminazione.
Insomma: con Process Ghosting un autore di malware ha la possibilità di eseguire un processo impedendo al motore del software antivirus di analizzare il file che lo ha generato. La soluzione? Secondo Landau servono strumenti in grado di rilevare le attività che possono essere indizio di una tattica simile.
Apr 26, 2024 0
Mag 09, 2023 0
Mag 04, 2022 0
Gen 28, 2022 0
Set 17, 2024 0
Set 16, 2024 0
Set 16, 2024 0
Set 13, 2024 0
Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...