Aggiornamenti recenti Marzo 29th, 2024 9:00 AM
Giu 17, 2021 Marco Schiaffino In evidenza, Malware, News, RSS, Vulnerabilità 0
Le tecniche di offuscamento che puntano ad aggirare i sistemi di scansione antivirus sono piuttosto rare e si basano, principalmente, sull’uso di rootkit.
Quella individuata da Gabriel Landau, ricercatore presso Elastic Security, adotta però un approccio diverso, che prende le mosse da alcune tecniche conosciute portandole a un livello superiore di efficacia.
Per farlo, la tecnica sfrutta le peculiarità del sistema di gestione della memoria su Windows e in particolare il gap di tempo presente tra la creazione del processo e la notifica della stessa all’antivirus.
Battezzata con il nome di Process Ghosting, la strategia messa a punto dal ricercatore è simile (almeno concettualmente) ad altri due sistemi di evasione: Process Doppelgänging e Process HerpaderpingProcess.
Entrambi permettono di avviare file eseguibili che sono già stati cancellati. Una possibilità legata alla modalità con cui i processi (e i singoli thread) vengono creati in Windows, cioè attraverso una sezione di immagine parziale del file eseguibile che li avvia.
Il tutto viene spiegato in dettaglio da Landau nel report che il ricercatore ha pubblicato su Internet.
La strategia adottata con Process Ghosting, in pratica è quella di copiare un file sul sistema, marcarlo come file in corso di eliminazione, mappare la sezione di immagine, chiudere il file per completarne l’eliminazione e a questo punto creare il processo fileless.
Nella video-demo inserita nel report, Landau mostra come l’antivirus cerchi di analizzare l’eseguibile malevolo, ma il processo non vada a buon fine perché il file è marcato come in via di eliminazione.
Insomma: con Process Ghosting un autore di malware ha la possibilità di eseguire un processo impedendo al motore del software antivirus di analizzare il file che lo ha generato. La soluzione? Secondo Landau servono strumenti in grado di rilevare le attività che possono essere indizio di una tattica simile.
Mag 09, 2023 0
Mag 04, 2022 0
Gen 28, 2022 0
Gen 27, 2022 0
Mar 29, 2024 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...