Che cos'è il Process Hollowing?

Il process hollowing è una tecnica sofisticata utilizzata dagli aggressori informatici per iniettare codice dannoso nei processi legittimi in esecuzione su un sistema informatico. Questa tecnica viene spesso utilizzata per aggirare le misure di sicurezza e ottenere un accesso non autorizzato alle risorse del sistema. Il termine "process hollowing" si riferisce al metodo di scavare lo spazio di memoria di un processo legittimo e sostituirlo con codice dannoso.

Il process hollowing è una forma di code injection, un'ampia categoria di tecniche di attacco informatico che prevede l'inserimento di codice dannoso in un processo software esistente. Questa tecnica è particolarmente insidiosa perché consente all'aggressore di eseguire codice dannoso pur sembrando un processo legittimo, eludendo così il rilevamento da parte del software di sicurezza.

Comprensione del processo di cavatura

Il process hollowing è una tecnica complessa che prevede diverse fasi. Il primo passo è la selezione di un processo bersaglio, che di solito è un processo legittimo in esecuzione sul sistema. L'aggressore sospende quindi il processo bersaglio e ne svuota lo spazio di memoria, creando di fatto una shell in cui inserire il codice dannoso.

Una volta scavato lo spazio di memoria, l'aggressore inietta il codice dannoso nella shell. Il codice dannoso è in genere progettato per eseguire qualche forma di attività dannosa, come rubare informazioni sensibili, lanciare un denial of service attack o creare un backdoor nel sistema.

Selezione del processo target

La selezione del processo bersaglio è una fase critica della tecnica process hollowing. L'aggressore sceglie in genere un processo comunemente presente sul sistema e che difficilmente desta sospetti. Ad esempio, l'aggressore potrebbe scegliere un processo associato a un'applicazione comunemente utilizzata, come un browser Web o un client di posta elettronica.

L'aggressore potrebbe anche scegliere un processo che abbia le autorizzazioni necessarie per eseguire l'attività dannosa desiderata. Ad esempio, se l'aggressore vuole modificare le impostazioni del sistema, potrebbe scegliere un processo con privilegi amministrativi.

Incavo della memoria

Il passo successivo della tecnica process hollowing consiste nell'hollow out dello spazio di memoria del processo bersaglio. Ciò comporta la sospensione del processo bersaglio e la successiva modifica del suo spazio di memoria per creare una shell per il codice dannoso. In genere questo avviene utilizzando chiamate di sistema di basso livello che consentono all'aggressore di manipolare direttamente lo spazio di memoria del processo.

Lo svuotamento dello spazio di memoria è un'operazione delicata che richiede una profonda conoscenza del processo bersaglio e del sistema operativo. Se eseguita in modo errato, può causare l'arresto del processo bersaglio, che potrebbe allertare l'utente o gli amministratori di sistema dell'attacco.

Esecuzione di codice dannoso

Una volta scavato lo spazio di memoria e iniettato il codice dannoso, l'aggressore riprende l'esecuzione del processo target. Il codice dannoso è ora in esecuzione nel contesto del processo legittimo e può eseguire le sue attività dannose senza destare sospetti.

L'esecuzione del codice dannoso avviene in genere in modo tale da sembrare parte del normale funzionamento del processo di destinazione. Questo può rendere estremamente difficile per il software di sicurezza rilevare l'attività dannosa.

Furtività ed evasione

Uno dei vantaggi principali dell'process hollowing è la sua capacità di eludere il rilevamento da parte del software di sicurezza. Poiché il codice dannoso viene eseguito all'interno di un processo legittimo, spesso riesce a eludere le misure di sicurezza progettate per rilevare e bloccare i processi dannosi.

Inoltre, poiché il codice dannoso viene eseguito all'interno dello spazio di memoria del processo di destinazione, spesso può eludere il rilevamento da parte del software di sicurezza che esegue la scansione del file system alla ricerca di file dannosi. Ciò rende l'process hollowing una tecnica particolarmente furtiva ed efficace per l'esecuzione di codice dannoso.

Attività dannose

Il codice dannoso iniettato tramite process hollowing può essere progettato per eseguire un'ampia gamma di attività dannose. Queste possono includere il furto di informazioni sensibili, come nomi utente e password, il lancio di denial of service attack, la creazione di un backdoor nel sistema o il download e l'installazione di ulteriore malware.

Le attività specifiche eseguite dal codice maligno dipendono dagli obiettivi dell'attaccante. Tuttavia, a prescindere dalle attività specifiche, il codice maligno sarà in genere progettato per operare in modo furtivo, al fine di evitare il rilevamento e prolungare la sua presenza sul sistema.

Prevenzione e rilevamento delle cavità di processo

La prevenzione e il rilevamento di process hollowing possono essere difficili a causa della sua natura furtiva e dell'uso di processi legittimi per eseguire codice dannoso. Tuttavia, esistono diverse strategie che possono essere utilizzate per ridurre il rischio di attacchi process hollowing.

Una strategia consiste nell'utilizzare un software di sicurezza in grado di rilevare comportamenti anomali nei processi. Tra questi vi sono l'utilizzo insolito della memoria, le connessioni di rete impreviste o le chiamate di sistema insolite. Monitorando questi segnali di comportamento anomalo, è possibile rilevare un attacco process hollowing in corso.

Analisi comportamentale

L'analisi comportamentale è una tecnica utilizzata da alcuni software di sicurezza per rilevare attività dannose. Si tratta di monitorare il comportamento dei processi e di cercare segni di attività dannosa. Ad esempio, se un processo inizia improvvisamente a effettuare chiamate di sistema o connessioni di rete insolite, questo potrebbe essere un segno di un attacco process hollowing.

L'analisi comportamentale può essere un modo efficace per rilevare gli attacchi process hollowing, ma richiede una comprensione sofisticata del comportamento normale dei processi. Inoltre, può richiedere un notevole dispendio di risorse, in quanto richiede un monitoraggio e un'analisi costanti del comportamento del processo.

Memoria forense

La memory forensics è un'altra tecnica che può essere utilizzata per rilevare gli attacchi process hollowing. Si tratta di analizzare lo spazio di memoria dei processi per cercare segni di attività dannosa. Ad esempio, se lo spazio di memoria di un processo contiene codice che non corrisponde a quello presente sul disco, questo potrebbe essere un segno di un attacco process hollowing.

La memory forensics può essere uno strumento potente per rilevare gli attacchi process hollowing, ma richiede conoscenze e strumenti specializzati. Inoltre, può richiedere molto tempo, in quanto comporta l'analisi di grandi quantità di dati.

Conclusione

Il process hollowing è una tecnica sofisticata e furtiva utilizzata dagli aggressori informatici per eseguire codice dannoso nel contesto di processi legittimi. Sebbene possa essere difficile da rilevare e prevenire, la comprensione del suo funzionamento può aiutare a sviluppare strategie efficaci per mitigarne i rischi.

Monitorando i segnali di comportamento anomalo, utilizzando l'analisi comportamentale e la memoria forense e impiegando un software di sicurezza in grado di rilevare tali attacchi, è possibile proteggere i sistemi dalle process hollowing e mantenere l'integrità dell'ambiente digitale.