Peneliti Mengungkap ‘Proses Ghosting’ — Teknik Penghindaran Malware Baru

  • Whatsapp
Teknik Penghindaran Malware

Peneliti keamanan siber telah mengungkapkan serangan perusakan gambar baru yang dapat dieksekusi yang dijuluki “Process Ghosting” yang dapat berpotensi disalahgunakan oleh penyerang untuk menghindari perlindungan dan secara diam-diam menjalankan kode berbahaya pada sistem Windows.

“Dengan teknik ini, penyerang dapat menulis sepotong malware ke disk sedemikian rupa sehingga sulit untuk memindai atau menghapusnya – dan kemudian mengeksekusi malware yang dihapus seolah-olah itu adalah file biasa di disk,” peneliti Elastic Security Gabriel Landau berkata. “Teknik ini tidak melibatkan injeksi kode, Proses Hollowing, atau NTFS Transaksional (TxF).”

Bacaan Lainnya

Tim Stack Overflow

Proses Ghosting memperluas didokumentasikan sebelumnya bypass titik akhir metode seperti Proses Doppelgänging dan Proses Herpaderping, sehingga memungkinkan eksekusi terselubung dari kode berbahaya yang dapat menghindari pertahanan dan deteksi anti-malware.

Proses Doppelgänging, analog dengan Proses Hollowing, melibatkan penyuntikan kode arbitrer di ruang alamat proses langsung aplikasi yang sah yang kemudian dapat dijalankan dari layanan tepercaya. Process Herpaderping, pertama kali dirinci Oktober lalu, menjelaskan metode untuk mengaburkan perilaku proses yang sedang berjalan dengan memodifikasi executable pada disk setelah gambar dipetakan dalam memori.

Penghindaran ini bekerja karena “celah antara saat proses dibuat dan saat produk keamanan diberi tahu tentang pembuatannya”, memberi pengembang malware jendela untuk mengutak-atik file yang dapat dieksekusi sebelum produk keamanan dapat memindainya.

Teknik Penghindaran Malware

Proses Ghosting melangkah lebih jauh dari Doppelgänging dan Herpaderping dengan memungkinkan untuk menjalankan executable yang telah dihapus. Ini mengambil keuntungan dari fakta bahwa upaya Windows untuk mencegah executable yang dipetakan agar tidak dimodifikasi atau dihapus hanya berlaku setelah biner dipetakan ke dalam bagian gambar.

“Artinya dimungkinkan untuk membuat file, menandainya untuk dihapus, memetakannya ke bagian gambar, menutup pegangan file untuk menyelesaikan penghapusan, lalu membuat proses dari bagian sekarang-tanpa file,” jelas Landau. “Ini adalah Proses Ghosting.”

Dalam demo proof-of-concept (PoC), para peneliti merinci skenario di mana Windows Defender mencoba membuka muatan berbahaya yang dapat dieksekusi untuk memindainya, tetapi gagal melakukannya karena file dalam status penghapusan tertunda, dan kemudian gagal lagi karena file sudah dihapus, sehingga memungkinkan untuk dieksekusi tanpa hambatan.

Elastic Security mengatakan telah melaporkan masalah tersebut ke Microsoft Security Response Center (MSRC) pada Mei 2021, setelah itu pembuat Windows menyatakan masalah tersebut “tidak memenuhi standar mereka untuk servis?,” menggemakan tanggapan serupa ketika Process Herpaderping diungkapkan secara bertanggung jawab kepada MSRC pada Juli 2020.

Manajemen Kata Sandi Perusahaan

Microsoft, pada bagiannya, telah merilis versi terbaru darinya of Sysinternals Suite awal Januari ini dengan Monitor Sistem yang ditingkatkan (alias Sysmon) utilitas untuk membantu mendeteksi serangan Process Herpaderping dan Process Hollowing.

Hasil dari, sysmon versi 13.00 (dan yang lebih baru) sekarang dapat menghasilkan dan mencatat “ID Acara 25” ketika sebuah malware merusak proses yang sah dan jika gambar proses diubah dari proses yang berbeda, dengan Microsoft mencatat bahwa peristiwa dipicu “ketika gambar yang dipetakan dari suatu proses tidak cocok dengan file gambar di disk, atau file gambar dikunci untuk akses eksklusif.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *