Новый метод кибератаки позволяет обходить современные системы обнаружения угроз

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.958
Репутация
11.595
Реакции
61.822
RUB
50
Исследователи из западной ИБ-компании Outflank рассказали о новом методе внедрения кода под названием Early Cascade Injection, который позволяет обходить современные системы обнаружения угроз (EDR).

Новая техника задействует особенности процесса создания приложений в Windows и минимизирует риск обнаружения, эффективно конкурируя с популярными методами вроде Early Bird APC Injection.

Новый метод кибератаки позволяет обходить современные системы обнаружения угроз


В основе Early Cascade Injection лежит вмешательство в создание процессов на уровне пользовательского режима. Метод объединяет преимущества Early Bird APC Injection и недавно разработанного EDR-Preloading. В отличие от ранних методов, новый подход устраняет необходимость использования межпроцессного вызова асинхронных процедур (APC), что снижает вероятность обнаружения.

Техника Early Cascade Injection способна эффективно обходить системы обнаружения, так как позволяет внедрять код до того, как EDR успевает активировать защитные механизмы. Например, при загрузке первых DLL-модулей EDR часто вставляет свои хуки, чтобы отслеживать активность. Новый метод вмешивается как раз на этой стадии, что может сорвать запуск таких защитных модулей.

«Атака, связанная с внедрением в процессы создания приложений Windows на ранней стадии, делает её особенно "скрытной", так как она не требует модификации системных прав доступа и исключает подозрительные взаимодействия между процессами. Данная уязвимость может быть использована для обхода стандартных систем обнаружения угроз в целях загрузки вредоносного кода. С наблюдением за "активностью" процессов на устройстве поможет справиться платформа расширенной аналитики Ankey ASAP, позволяющая детектировать аномалии в поведении пользователей и сущностей.

Для пресечения использования подобного рода уязвимостей следует обновлять системные компоненты, включая критически важные библиотеки, а также мониторить изменения в поведении инициированных процессов».


 
  • Теги
    windows уязвимость
  • Сверху Снизу