Aggiornamenti recenti Luglio 18th, 2025 3:17 PM
Giu 17, 2021 Marco Schiaffino In evidenza, Malware, News, RSS, Vulnerabilità 0
Le tecniche di offuscamento che puntano ad aggirare i sistemi di scansione antivirus sono piuttosto rare e si basano, principalmente, sull’uso di rootkit.
Quella individuata da Gabriel Landau, ricercatore presso Elastic Security, adotta però un approccio diverso, che prende le mosse da alcune tecniche conosciute portandole a un livello superiore di efficacia.
Per farlo, la tecnica sfrutta le peculiarità del sistema di gestione della memoria su Windows e in particolare il gap di tempo presente tra la creazione del processo e la notifica della stessa all’antivirus.
Battezzata con il nome di Process Ghosting, la strategia messa a punto dal ricercatore è simile (almeno concettualmente) ad altri due sistemi di evasione: Process Doppelgänging e Process HerpaderpingProcess.
Entrambi permettono di avviare file eseguibili che sono già stati cancellati. Una possibilità legata alla modalità con cui i processi (e i singoli thread) vengono creati in Windows, cioè attraverso una sezione di immagine parziale del file eseguibile che li avvia.
Il tutto viene spiegato in dettaglio da Landau nel report che il ricercatore ha pubblicato su Internet.
La strategia adottata con Process Ghosting, in pratica è quella di copiare un file sul sistema, marcarlo come file in corso di eliminazione, mappare la sezione di immagine, chiudere il file per completarne l’eliminazione e a questo punto creare il processo fileless.
Nella video-demo inserita nel report, Landau mostra come l’antivirus cerchi di analizzare l’eseguibile malevolo, ma il processo non vada a buon fine perché il file è marcato come in via di eliminazione.
Insomma: con Process Ghosting un autore di malware ha la possibilità di eseguire un processo impedendo al motore del software antivirus di analizzare il file che lo ha generato. La soluzione? Secondo Landau servono strumenti in grado di rilevare le attività che possono essere indizio di una tattica simile.
Gen 13, 2025 0
Nov 26, 2024 0
Apr 26, 2024 0
Mag 09, 2023 0
Lug 18, 2025 0
Lug 18, 2025 0
Lug 17, 2025 0
Lug 16, 2025 0
Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 18, 2025 0
Il CERT-UA, agenzia governativa ucraina di cybersicurezza,...Lug 18, 2025 0
Un gruppo APT legato al governo cinese ha mantenuto...Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Lug 16, 2025 0
FlashStart, realtà italiana specializzata in soluzioni per...Lug 15, 2025 0
Nuova minaccia per le GPU: secondo un recente comunicato...