Търсене
Close this search box.

PoolParty надхитряват решения за EDR на CrowdStrike, Cybereason, Microsoft, Palo Alto Networks и SentinelOne

Нова колекция от осем техники за инжектиране на процеси, наречена PoolParty, може да бъде използвана за постигане на изпълнение на код в системи Windows, като се избягват повечето от системите за откриване и реагиране на крайни точки (EDR).

Изследователят от SafeBreach Алон Левиев заяви, че методите са „способни да работят във всички процеси без никакви ограничения, което ги прави по-гъвкави от съществуващите техники за инжектиране на процеси“.

Констатациите бяха представени за първи път на конференцията Black Hat Europe 2023 миналата седмица.
Процесното инжектиране се отнася до техника за избягване, използвана за стартиране на произволен код в целеви процес. Съществува широка гама от техники за инжектиране на процеси, като инжектиране на библиотеки за динамични връзки (DLL), инжектиране на преносими изпълними файлове, отвличане на изпълнението на нишки, издълбаване на процеси и допелгиране на процеси.

PoolParty е наречен така, защото руутнат  в компонент, наречен Windows user-mode thread pool, като го използва за вмъкване на всякакъв вид работен елемент в целеви процес в системата.

Той работи, като се насочва към Windows user-mode thread pool – които се отнасят до обектите на Windows, отговарящи за управлението на работните нишки от пула от нишки – и презаписва стартовата процедура със зловреден шел код за последващо изпълнение от работните нишки.

Process Injection Techniques

„Освен опашките от задачи, Windows user-mode thread pool, който служи като мениджър на работни нишки, може да се използва за поемане на работните нишки“, отбелязва Левиев.

SafeBreach заяви, че е успял да разработи седем други техники за инжектиране на процеси, използвайки опашката за задачи (обикновени работни елементи), опашката за завършване на I/O (асинхронни работни елементи) и опашката за таймери (работни елементи на таймери) въз основа на поддържаните работни елементи.

Установено е, че PoolParty постига 100% успеваемост срещу популярни EDR решения, като CrowdStrike, Cybereason, Microsoft, Palo Alto Networks и SentinelOne.

Разкритието идва близо шест месеца след като Security Joes разкри друга техника за инжектиране на процеси, наречена Mockingjay, която може да бъде използвана от  заплахи за заобикаляне на решенията за сигурност, за да изпълняват зловреден код на компрометирани системи.

„Въпреки че съвременните EDR са се развили, за да откриват известните техники за инжектиране на процеси, нашето изследване доказа, че все още е възможно да се разработят нови техники, които не могат да бъдат открити и имат потенциал да окажат опустошително въздействие“, заключава Левиев.

„Усъвършенстваните заплахи ще продължат да проучват нови и иновативни методи за инжектиране на процеси, а доставчиците на инструменти за сигурност и специалистите трябва да бъдат проактивни в защитата си срещу тях.“

 

 

Източник: The Hacker News

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
11 април 2024

CISA нарежда на агенциите, засегнати от хакерск...

CISA издаде нова спешна директива, с която нарежда на федералните а...
Бъдете социални
Още по темата
05/04/2024

Как и защо да правите резер...

Защитата на данните продължава да бъде...
29/03/2024

Надпреварата за нулеви дни ...

Според Google напредналите противници все повече...
27/03/2024

Какво представлява защитата...

Киберпрестъпниците все по-често използват нови стратегии...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!