Kỹ thuật Process Ghosting sẽ tiến hành Anti-Virus trở thành bù nhìn

Rate this post

#một. Sơ lược về Process Ghosting

những nhà nghiên cứu và phân tích bảo mật thông tin từng từng từng tìm ra ra một phương pháp thực thi mã độc new với tên thường gọi “Process Ghosting”.

Kỹ thuật này tận dụng việc tráo đổi Executable Image giữa một ứng dụng thường thì với ứng dụng chứa mã độc, từ đó mã độc được thực thi dưới danh nghĩa của ứng dụng từng từng từng được trust (tin cậy) bởi hệ yếu tố hành, hoặc những ứng dụng bảo mật thông tin.

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (1)

tổng thể chúng ta thử phương pháp hiểu Process Ghosting trải qua 2 phát biểu của nhân viên cấp dưới Gabriel Landau của hãng sản xuất Elastic như sau, nguyên văn:

“With this technique, an attacker can write a piece of malware to disk in such a way that it’s difficult to scan or delete it — and where it then executes the deleted malware as though it were a regular file on disk.”

“This technique does not involve code injection, Process Hollowing, or Transactional NTFS (TxF).”

Mình xin dịch đại ý đó là:

tin tặc thử phương pháp lưu malware vào máy của nạn nhân như một file thường thì, rồi sử dụng được nó thường thì, nhưng lạ thế hệ là những ứng dụng diệt virus không thể scan, không thể tìm ra hoặc là xóa nó được.

Những malware sừng sỏ với những kỹ thuật quá tăng tăng thời thượng như code injection, Process Hollowing, TxF cũng phải ngả mũ chào thua kỹ thuật new này, rất kinh dị thưa những những những những những những bạn xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua !

#2. Process Ghosting và những tiền bối

Trước đó thì tổng thể chúng ta có những hậu duệ của nó như thể Process Herpaderping (với kỹ thuật code injection) và Process Doppelgänging (với fileless malware), nay thử phương pháp nói Process Ghosting là việc tổng hợp/tăng cấp dành với những kỹ thuật trước đó, tiến hành dành với những giải pháp bảo mật thông tin bất lực thực sự.

Ngoài ra vẫn đang còn kỹ thuật Process Doppelgänging, tương tự động hóa như Process Hollowing sử dụng kỹ thuật chèn mã độc vào address space của một ứng dụng thường thì đang sử dụng được.

vẫn Process Herpaderping (được những nhà bảo mật thông tin công bố đủ vào tháng 10/2020) là một phương pháp “ẩn thân”, ứng dụng từng từng từng được “mapped in memory” là mã độc, nhưng phiên bản thân nó trên ổ cứng lại là file thường thì, rất tinh vi thưa những những những những những những bạn xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua !

https://www.elastic.co/blog/process-ghosting-a-new-executable-image-tampering-attack

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (2)

những những những những những những bạn xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua thử phương pháp tìm hiểu kỹ thuật Process Herpaderping trên những bài nghiên cứu và phân tích quốc tế, mình xin nói ngắn gọn về nó trước như sau:

Phương pháp này tận dụng quạt hổng trong lúc một process (tiến trình) được tạo ra và trước trong những khi những ứng dụng bảo mật thông tin được hệ yếu tố hành hiện lên về việc này, trong tầm thời hạn chờ đó, tin tặc nhanh trí sửa file thực thi trên đĩa thành một file thường thì.

tới trong những khi những ứng dụng bảo mật thông tin tiến hành quét, chúng chỉ thấy những file vô hại mà thôi.

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (3)

Với tổng hợp những kỹ thuật họ Process… trên (Doppelgänging, Herpaderping,…) thì Process Ghosting vẫn được thổi lên một tầm quá tăng tăng ngày một nhiều new, đó là kỹ năng thực thi mã độc ngay trong những khi file trên ổ cứng từng từng từng bị xóa.

(Về góc nhìn kỹ thuật thì Windows từng từng từng tiếp tay dành với kỹ thuật này trong những khi Windows đảm bảo file thực thi (mapped executable) chỉ bị sửa/xóa trọn vẹn sau số thời hạn mã nhị phân (binary) từng từng từng được map vào trong một image section (binary is mapped into an image section).

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (4)

Cơ chế tiến hành việc được nhân viên cấp dưới bảo mật thông tin nổi tiếng Landau của Elastic lý giải ngắn gọn như sau:

tin tặc viết ứng dụng tạo một file, ghi lại nó là pending-delete, rồi map nó vào trong một image section => tiếp theo xóa file handle để file bị hệ yếu tố hành xóa trọn vẹn => ở đầu cuối là tạo một process từ mapped image section thay đổi thế vì từ file trên ổ cứng như cổ xưa.

ky-thuat-process-ghosting-se-khien-anti-virus-tro-thanh-bu-nhin (5)

#3. Lời kết

Hãng bảo mật thông tin Elastic Security từng từng từng thông hiện lên dành với Microsoft trải qua Microsoft Security Response Center (MSRC) và Microsoft cũng từng từng từng có những hành động nhất định thay đổi thế vì tùy thuộc vào những ứng dụng diệt virus.

rõ ràng thì Microsoft từng từng từng update hệ yếu tố hành Windows để ngăn ngừa phương pháp tiến công này, đồng thời dành với tung ra Sysmon 13 trong bộ phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận phận Sysinternals Suite dành với phép tìm ra Process Herpaderping, Process Hollowing cùng những biến thể.

Sysmon 13 tự động hóa động ghi log vào Windows với việc kiện ID 25 trong những khi nó tìm ra mã độc “tráo đổi” process image của một ứng dụng thường thì với process image đáng ngờ.

Hoặc là trong những khi mapped image của một tiến trình không khớp với file trên ổ cứng của nó, hoặc là file trên đĩa bị khóa/hạn chế truy vấn (những tín hiệu của kỹ thuật họ Process… đang rất được sử dụng).

riêng tư người tiêu dùng tổng thể chúng ta thì nên thường xuyên update Windows, hãy cài những ứng dụng bảo mật thông tin uy tín và có phiên bản quyền không hề thiếu như Kaspersky, ESET Smart Security, BKAV,… tránh trường hợp sử dụng AV xịn nhưng signature bị outdated.

CTV: Dương Minh Thắng – Blogchiasekienthuc.com

nội dung bài viết đạt: 5/5 sao – (Có một lượt nhận định và định hình)

Note: trên đó hữu ích với những những những những những bạn xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua chứ? tránh quên nhận định và định hình nội dung bài viết, like và sẻ chia dành với những những những những những bạn xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua bè và người thân trong gia đình của những những những những những bạn xem qua xem qua xem qua xem qua xem qua xem qua xem qua xem qua nhé !

Written by 

Leave a Reply

Your email address will not be published.