Une nouvelle collection de huit techniques d’injection de processus, collectivement baptisées Soirée piscinepourrait être exploité pour exécuter du code dans les systèmes Windows tout en évitant les systèmes de détection et de réponse des points finaux (EDR).
Alon Leviev, chercheur à SafeBreach dit les méthodes sont « capables de fonctionner sur tous les processus sans aucune limitation, ce qui les rend plus flexibles que les techniques d’injection de processus existantes ».
Le résultats ont été présentés pour la première fois au Chapeau noir Europe 2023 conférence la semaine dernière.
Déchiffrer le code : découvrez comment les cyberattaquants exploitent la psychologie humaine
Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale est si efficace ? Plongez en profondeur dans la psychologie des cyberattaquants dans notre prochain webinaire.
L’injection de processus fait référence à un technique d’évasion utilisé pour exécuter du code arbitraire dans un processus cible. Il existe un large éventail de techniques d’injection de processus, telles que l’injection de bibliothèques de liens dynamiques (DLL), l’injection d’exécutables portables, le détournement d’exécution de threads, le creusement de processus et le doppelgänging de processus.
PoolParty est ainsi nommé car il est enraciné dans un composant appelé pool de threads en mode utilisateur Windows, l’exploitant pour insérer tout type d’élément de travail dans un processus cible sur le système.
Cela fonctionne en ciblant usines de travailleurs – qui font référence aux objets Windows responsables de la gestion des threads de travail du pool de threads – et de l’écrasement de la routine de démarrage par un shellcode malveillant pour une exécution ultérieure par les threads de travail.
« Outre les files d’attente, la fabrique de tâches qui sert de gestionnaire de threads de travail peut être utilisée pour prendre en charge les threads de travail », a noté Leviev.
SafeBreach a déclaré qu’il était capable de concevoir sept autres techniques d’injection de processus en utilisant la file d’attente de tâches (éléments de travail réguliers), la file d’attente d’achèvement d’E/S (éléments de travail asynchrones) et la file d’attente de minuterie (éléments de travail de minuterie) en fonction des éléments de travail pris en charge.
Il a été constaté que PoolParty atteint un taux de réussite de 100 % par rapport aux solutions EDR populaires, notamment celles de CrowdStrike, Cybereason, Microsoft, Palo Alto Networks et SentinelOne.
La divulgation intervient près de six mois après que Security Joes a révélé qu’une autre technique d’injection de processus baptisée Mockingjay pourrait être exploitée par des acteurs malveillants pour contourner les solutions de sécurité afin d’exécuter du code malveillant sur des systèmes compromis.
« Bien que les EDR modernes aient évolué pour détecter les techniques connues d’injection de processus, nos recherches ont prouvé qu’il est encore possible de développer de nouvelles techniques indétectables et susceptibles d’avoir un impact dévastateur », a conclu Leviev.
« Les auteurs de menaces sophistiquées continueront d’explorer des méthodes nouvelles et innovantes d’injection de processus, et les fournisseurs d’outils de sécurité et les praticiens doivent être proactifs dans leur défense contre eux. »