El día 5 de marzo leía la entrada del siguiente blog:
http://antonioparata.blogspot.com.es/2017/11/shed-inspect-net-malware-like-sir.html
Cuando hubo una frase que me llamó la atención:
"The main problem with
this approach is that by now most of the malware use Process Hollowing ([1]) to inject its content in a newly created process."
TRADUCCIÓN: "El principal problema con este enfoque es
que ahora la mayoría de malware usa Process Hollowing para inyectar su
contenido en un proceso creado de cero".
Me pregunté, ¿en qué consiste "Process
Hollowing"?.
Para resolver la duda seguí la referencia marcada
en el propia entrada:
https://attack.mitre.org/wiki/Technique/T1093
En la página web de información se puede leer:
"Process hollowing
occurs when a process is created in a suspended state then its memory is
unmapped and replaced with malicious code. Similar to Process Injection,
execution of the malicious code is masked under a legitimate process and may
evade defenses and detection analysis."
TRADUCCIÒN: "Process hollowing ocurre cuando un proceso
es creado en un estado
suspendido, entonces su memoria es des-mapeada y reemplazada con código
malicioso. Igual que Process
Injection, la ejecución de código malicioso está enmarcada bajo un proceso
legítimo y puede evadir defensas y análisis de detección"
¡Muy interesante!
Pero, como se contrarresta está técnica o cuál es
la contramedida.
Bueno pues está
contramedida no existe, debido a que estamos hablando de una característica
propia del sistema operativo.
"This type of attack
technique cannot be easily mitigated with preventive controls since it is based
on the abuse of operating system design features. "
TRADUCCIÓN: "Este tipo de técnicas de ataque no pueden
ser fácilmente mitigadas con controles preventivos ya que está basado en el
abuso de características de diseño del sistema operativo"
Por lo tanto lo único que se puede hacer es
analizar el comportamiento del proceso lanzado para detectar
patrones sospechosos, es decir, nos conminan a analizar todo ejecutable que
llegue a nuestra organización antes de ejecutarlo en su destino final.
Si en nuestro análisis estático encontráramos las
APIs: ZwUnmapViewOfSection o NtUnmapViewOfSection, podríamos estar
ante una muestra que usa: Process Hollowing.
"Monitoring API calls
may generate a significant amount of data and may not be directly useful for
defense unless collected under specific circumstances for known bad sequences
of calls, since benign use of API functions may be common and difficult to
distinguish from malicious behavior. "
TRADUCCIÓN: "Monitorizar las llamadas a la API puede
generar un significativa cantidad de datos que pueden no ser útiles como
defensa a menos que se recolecten bajo circunstancias específicas con la
intención de conocer "malas" secuencias de llamadas, ya que el uso
legítimo de las funciones de la API debe ser lo común y ello dificulta la
distinción de un comportamiento malicioso"
"Analyze process
behavior to determine if a process is performing actions it usually does not,
such as opening network connections, reading files, or other suspicious actions
that could relate to post-compromise behavior."
TRADUCCIÓN: "Analice el comportamiento del proceso para
determinar si está realizando acciones no habituales, tales como la apertura de
conexiones de red, lectura de ficheros u otras acciones de índole sospechoso
podría indicar un comportamiento que indicará una infección".
Lo que hagas con la información
es cosa tuya, no mía ... pero ten conciencia
No hay comentarios:
Publicar un comentario