Una nueva colección de ocho técnicas de inyección de procesos, denominadas colectivamente Fiesta de piscinapodría explotarse para lograr la ejecución de código en sistemas Windows y al mismo tiempo evadir los sistemas de respuesta y detección de puntos finales (EDR).
Alon Leviev, investigador de SafeBreach dicho los métodos son «capaces de funcionar en todos los procesos sin limitaciones, lo que los hace más flexibles que las técnicas de inyección de procesos existentes».
El recomendaciones fueron presentados por primera vez en el Sombrero Negro Europa 2023 conferencia la semana pasada.
Descifrando el código: aprenda cómo los ciberatacantes explotan la psicología humana
¿Alguna vez te has preguntado por qué la ingeniería social es tan eficaz? Profundice en la psicología de los ciberatacantes en nuestro próximo seminario web.
La inyección de proceso se refiere a una técnica de evasión Se utiliza para ejecutar código arbitrario en un proceso de destino. Existe una amplia gama de técnicas de inyección de procesos, como la inyección de biblioteca de vínculos dinámicos (DLL), la inyección de ejecutables portátiles, el secuestro de ejecución de subprocesos, el vaciado de procesos y la duplicación de procesos.
PoolParty se llama así porque está basado en un componente llamado grupo de subprocesos en modo de usuario de Windows, aprovechándolo para insertar cualquier tipo de elemento de trabajo en un proceso de destino en el sistema.
Funciona apuntando fábricas de trabajadores – que se refieren a objetos de Windows que son responsables de administrar los subprocesos de trabajo del grupo de subprocesos – y sobrescribir la rutina de inicio con código shell malicioso para su posterior ejecución por parte de los subprocesos de trabajo.
«Aparte de las colas, la fábrica de trabajadores que sirve como administrador de subprocesos de trabajadores puede usarse para hacerse cargo de los subprocesos de trabajadores», señaló Leviev.
SafeBreach dijo que pudo idear otras siete técnicas de inyección de procesos utilizando la cola de tareas (elementos de trabajo regulares), la cola de finalización de E/S (elementos de trabajo asincrónicos) y la cola de temporizador (elementos de trabajo con temporizador) en función de los elementos de trabajo admitidos.
Se ha descubierto que PoolParty logra una tasa de éxito del 100 % frente a soluciones EDR populares, incluidas las de CrowdStrike, Cybereason, Microsoft, Palo Alto Networks y SentinelOne.
La divulgación llega casi seis meses después de que Security Joes revelara que otra técnica de inyección de procesos denominada Sinsajo podría ser explotada por actores de amenazas para eludir las soluciones de seguridad y ejecutar código malicioso en sistemas comprometidos.
«Aunque los EDR modernos han evolucionado para detectar técnicas de inyección de procesos conocidas, nuestra investigación ha demostrado que todavía es posible desarrollar técnicas novedosas que son indetectables y tienen el potencial de tener un impacto devastador», concluyó Leviev.
«Los actores de amenazas sofisticados continuarán explorando métodos nuevos e innovadores para la inyección de procesos, y los proveedores y profesionales de herramientas de seguridad deben ser proactivos en su defensa contra ellos».