Qu’est-ce que le Process Ghosting ? Comment les attaquants l’utilisent-ils ?

  • FrançaisFrançais



  • En plus de faire progresser les stratégies de piratage, les cybercriminels essaient souvent différentes tactiques pour échapper aux détections de sécurité. Dans l’une de ces tactiques découverte récemment, les chercheurs en sécurité d’Elastic Security ont révélé qu’une nouvelle attaque de falsification d’image, baptisée Ghosting de processus, est utilisé par des pirates informatiques distants pour déployer furtivement des logiciels malveillants sur un système Windows ciblé.

    Les chercheurs disent que Process Ghosting est un nouveau type de technique de modification d’image exécutable avec certaines similitudes avec les méthodes de point de terminaison comme Doppelgänging et Herpaderping. Process Ghosting exploite les codes malveillants voilés pour échapper aux défenses et à la détection anti-malware.

    « Avec cette technique, un attaquant peut écrire un malware sur le disque de telle sorte qu’il soit difficile de l’analyser ou de le supprimer et où il exécute ensuite le malware supprimé comme s’il s’agissait d’un fichier ordinaire sur le disque. Cette technique n’implique pas d’injection de code, de creusement de processus ou de NTFS transactionnel (TxF) », a déclaré Elastic Security. « Un écart entre le moment où un processus est créé et le moment où les produits de sécurité sont informés de sa création, donnant aux développeurs de logiciels malveillants une fenêtre pour altérer l’exécutable avant que les produits de sécurité ne puissent l’analyser. »

    Flux d’attaque de fantôme de processus

    1. Créer un fichier.
    2. Mettez le fichier dans un état en attente de suppression à l’aide de NtSetInformationFile(FileDispositionInformation). Remarque : Tenter d’utiliser FILE_DELETE_ON_CLOSE à la place ne supprimera pas le fichier.
    3. Écrivez l’exécutable de la charge utile dans le fichier. Le contenu n’est pas conservé car le fichier est déjà en attente de suppression. L’état en attente de suppression bloque également les tentatives d’ouverture de fichiers externes.
    4. Créez une section d’image pour le fichier.
    5. Fermez la poignée de suppression en attente, en supprimant le fichier.
    6. Créez un processus à l’aide de la section image.
    7. Attribuez des arguments de processus et des variables d’environnement.
    8. Créez un thread à exécuter dans le processus.

    Dans une vidéo de démonstration de preuve de concept (PoC), les chercheurs ont expliqué comment Windows Defender a initialement essayé d’ouvrir l’exécutable de la charge utile pour l’analyser, mais a échoué car le fichier était dans l’état de suppression en attente. Les tentatives ultérieures pour l’ouvrir ont également échoué car le fichier avait déjà été supprimé. La charge utile (ghost.exe) a été exécutée sans problème.

    « Nous avons détecté diverses techniques de falsification d’images de processus, notamment Doppelgänging, Herpaderping et Ghosting. Il le fait en vérifiant le FILE_OBJECT pour les anomalies lors du rappel de création de processus. Ceux-ci sont signalés dans les événements de création de processus sous process.Ext.defense_evasions », a ajouté Elastic Security.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *