EL NUEVO ATAQUE PARA LA INYECCIÓN DE MALWARE EN SISTEMAS WINDOWS: PROCESS GHOSTING

Expertos en ciberseguridad reportan la detección de una nueva variante de ataque basado en la manipulación de imágenes ejecutables. Identificado como Process Ghosting, este ataque permitiría a los actores de amenazas esquivar las protecciones habilitadas en un sistema Windows objetivo con el fin de ejecutar código malicioso. Gabriel Landau, especialista de Elastic Security, publicó un reporte detallado de este ataque.

Acorde al especialista, el ataque amplía los métodos de evasión de endpoints conocidos como Process Herpaderping, permitiendo la ejecución de código de forma inadvertida para cualquier solución anti malware. El ataque Process Herpaderping fue descrito por primera vez en octubre de 2020 como un método para ocultar el comportamiento de un proceso en ejecución mediante la modificación del ejecutable en el disco después de que la imagen se haya mapeado en la memoria.

Acorde al experto, estas tareas de evasión funcionan debido a “una brecha entre el momento en que se crea un proceso y el momento en que se notifica a los productos de seguridad de su creación”, permitiendo a los actores de amenazas identificar un espacio para manipular el ejecutable antes de que los productos de seguridad puedan escanear la actividad maliciosa.

Process Ghosting va un paso más allá de ataques como Process Herpaderping al permitir la ejecución de cargas maliciosas que ya hayan sido eliminados, además de aprovecharse de la etapa en la que Windows trata de evitar que los ejecutables se modifiquen solo cuando el binario es asignado a una sección de imagen. En otras palabras, es posible crear un archivo, marcarlo para ser eliminado, asignarlo a una sección de imagen, cerrar el identificador del archivo para completar la eliminación y luego crear un proceso desde la sección ahora sin archivos.

Con el fin de abordar este riesgo de seguridad, Microsoft lanzó una versión actualizada de su Sysinternals Suite a principios de enero con una utilidad mejorada de System Monitoring para ayudar a detectar estas variantes de ataque de forma más eficiente.

Fuente: Process Ghosting: el nuevo ataque para la inyección de malware en sistemas Windows (cibertip.com)

¡Compártelo con tus amigos con el botón al final de la página!

Si te ha gustado ¡Vamos! SUSCRÍBETE a continuación:

android Apple Ataques Malware ciberdelincuencia CiberSeguridad Desarrollo Diversion Eventos Facebook Google Hacking Hardware Innovacion Inteligencia Artificial inter Internet Iphone Legal linux Mac Malware Microsoft Movil Multimedia-TV-IOT Móvil Móviles Navegadores Novedades nube Programacion Ransoware Redes informáticas Redes Sociales Seguridad Seguridad en Internet Seguridad Movil Sistemas Operativos Tecnologia Tips Tips Móvil Uso de Smartphone utiles vulnerabilidades Window Windows

Deja una respuesta

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: