Novas Técnicas de Injeção de Processo do PoolParty Burlam as Principais Soluções EDR
11 de Dezembro de 2023

Uma nova coleção de oito técnicas de injeção de processo, coletivamente denominada PoolParty, poderia ser explorada para realizar a execução de código em sistemas Windows, enquanto evita sistemas de detecção e resposta de endpoint (EDR).

O pesquisador da SafeBreach, Alon Leviev, disse que os métodos são "capazes de trabalhar em todos os processos sem quaisquer limitações, tornando-os mais flexíveis do que as técnicas de injeção de processo existentes." As descobertas foram apresentadas pela primeira vez na conferência Black Hat Europe 2023 na semana passada.

Injeção de processo refere-se a uma técnica de evasão usada para executar código arbitrário em um processo alvo.

Uma ampla gama de técnicas de injeção de processo existe, como injeção de biblioteca de link dinâmico (DLL), injeção executável portátil, sequestro de execução de thread, esvaziamento de processo e duplicação de processo.

PoolParty é assim chamado porque está enraizado em um componente chamado pool de threads de modo de usuário do Windows, aproveitando-o para inserir qualquer tipo de item de trabalho em um processo alvo no sistema.

Funciona direcionando fábricas de trabalhadores - que se referem a objetos do Windows responsáveis pela administração de threads de trabalhadores - e sobrescrevendo a rotina inicial com shellcode malicioso para execução subsequente pelos threads de trabalho.

"Além das filas, a fábrica de trabalhadores que serve como o gerente dos threads de trabalho pode ser usada para assumir o controle dos threads de trabalho", observou Leviev.

SafeBreach disse que foi capaz de elaborar outras sete técnicas de injeção de processo usando a fila de tarefas (itens de trabalho regulares), fila de conclusão de E/S (itens de trabalho assíncronos) e a fila de temporizador (itens de trabalho de temporizador) com base nos itens de trabalho suportados.

PoolParty foi encontrado para alcançar uma taxa de sucesso de 100% contra soluções EDR populares, incluindo aquelas da CrowdStrike, Cybereason, Microsoft, Palo Alto Networks e SentinelOne.

A divulgação chega quase seis meses após a Security Joes revelar outra técnica de injeção de processo chamada Mockingjay que poderia ser explorada por atores de ameaças para contornar soluções de segurança para executar código malicioso em sistemas comprometidos.

"Embora os EDRs modernos tenham evoluído para detectar técnicas de injeção de processo conhecidas, nossa pesquisa provou que ainda é possível desenvolver técnicas novas que são indetectáveis e têm o potencial de causar um impacto devastador", concluiu Leviev.

"Os atores de ameaças sofisticados continuarão a explorar novos e inovadores métodos de injeção de processo, e os fornecedores de ferramentas de segurança e profissionais devem ser proativos em sua defesa contra eles."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...