Umieszczanie złośliwego kodu w nieszkodliwych procesach jest szeroko wykorzystywaną funkcjonalnością złośliwego oprogramowania w celu obchodzenia systemów AV/HIPS. Pierwsze techniki tego typu pojawiły się ponad 15 lat temu i „z marszu” zdobyły uznanie wśród osób skupionych wokół tematyki tworzenia malware’u. Przez ostatnie dwa lata pojawiły się dwie nowe techniki, wykorzystujące zapomniane mechanizmy Windows, które pozwalają na uruchomienie kodu tylko z pamięci operacyjnej. Umieszczenie pliku wykonywalnego w systemie plików ofiary nie jest wymagane - jest to tzw. „fileless malware”. Nietrudno się domyślić, że wszystkie mechanizmy heurystyczne silników antywirusowych nie miały żadnych szans w starciu z nimi. W tym artykule omówię najpopularniejsze oraz najnowsze mechanizmy służące do ukrywania kodu pośród nieszkodliwych procesów wraz z przykładowymi implementacjami...
Zagadnienia poruszane w tym artykule:
Artykuł znajduje się w miesięczniku "Programista" nr 67 (12/2017). Jest to wydanie z przełomu stycznia i lutego 2018 r. Szczegółowy spis treści: http://programistamag.pl/programista-12-2017-67/
Autorem artykułu jest: Kamil Frankowicz. Fan fuzzingu oraz nowych metod powodowania awarii programów. Na co dzień broni bezpieczeństwa polskiego Internetu, pracując jako Security Engineer w CERT Polska/NASK. Do jego specjalności należy psucie – często nieintencjonalne. W czasie wolnym lata dronem i nieregularnie opisuje swoje znaleziska na blogu związanym z bughuntingiem (https://frankowicz.me). Mail: kamil@frankowicz.me