Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Новый метод атаки задействует особенности процесса создания приложений в Windows для избежания обнаружения

17/10/24

hack212-2

Исследователи из компании Outflank представили новый метод внедрения кода под названием Early Cascade Injection, который позволяет обходить современные системы обнаружения угроз (EDR). Эта техника минимизирует риск обнаружения, эффективно конкурируя с популярными методами вроде Early Bird APC Injection. Об этом пишет Securitylab.

В основе Early Cascade Injection лежит вмешательство в создание процессов на уровне пользовательского режима. Метод объединяет преимущества Early Bird APC Injection и недавно разработанного EDR-Preloading. В отличие от ранних методов, новый подход устраняет необходимость использования межпроцессного вызова асинхронных процедур (APC), что снижает вероятность обнаружения.

Для выполнения кода Early Cascade Injection использует недокументированные указатели внутри библиотеки «ntdll.dll». Примером такого указателя является «g_pfnSE_DllLoaded», который задействуется до начала инициализации ключевых библиотек, таких как «kernel32.dll» и «kernelbase.dll». Это позволяет получить контроль над процессом на ранних стадиях.

После внедрения начального фрагмента кода через «g_pfnSE_DllLoaded», система использует вызов NtQueueApcThread для добавления основного полезного кода в очередь APC. Этот код запускается на завершающем этапе инициализации процесса, когда система очищает очередь APC через функцию NtTestAlert.

В отличие от традиционного Early Bird APC Injection, новый метод исключает подозрительные межпроцессные взаимодействия, что делает его менее заметным для EDR. Также Early Cascade Injection не требует модификации системных прав доступа для изменения памяти, так как нужные секции («.mrdata» и «.data») остаются доступными для записи в приостановленном состоянии процесса.

Техника Early Cascade Injection способна эффективно обходить системы обнаружения, так как позволяет внедрять код до того, как EDR успевает активировать защитные механизмы. Например, при загрузке первых DLL-модулей EDR часто вставляет свои хуки, чтобы отслеживать активность. Новый метод вмешивается как раз на этой стадии, что может сорвать запуск таких защитных модулей.

Темы:WindowsУгрозытактики киберпреступниковOutflank
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...