O Process Hollowing é uma técnica sofisticada utilizada pelos ciber-atacantes para injetar código malicioso em processos legítimos em execução num sistema informático. Esta técnica é frequentemente usada para contornar as medidas de segurança e obter acesso não autorizado aos recursos do sistema. O termo "process hollowing" refere-se ao método de esvaziar o espaço de memória de um processo legítimo e substituí-lo por código malicioso.
O Process Hollowing é uma forma de injeção de código, uma vasta categoria de técnicas de ciberataque que envolve a inserção de código malicioso num processo de software existente. Esta técnica é particularmente insidiosa porque permite ao atacante executar código malicioso enquanto aparenta ser um processo legítimo, evitando assim a deteção por software de segurança.
Compreender o processo de escavação
O esvaziamento de processos é uma técnica complexa que envolve várias etapas. O primeiro passo é a seleção de um processo alvo, que é normalmente um processo legítimo em execução no sistema. O atacante suspende então o processo alvo e esvazia o seu espaço de memória, criando efetivamente uma concha na qual o código malicioso pode ser inserido.
Uma vez que o espaço de memória tenha sido esvaziado, o atacante injeta o código malicioso no shell. O código malicioso é tipicamente concebido para executar alguma forma de atividade maliciosa, tal como roubar informação sensível, lançar um denial of service attack, ou criar um backdoor no sistema.
Seleção do processo alvo
A seleção do processo alvo é um passo crítico na técnica process hollowing. Normalmente, o atacante escolhe um processo que se encontra habitualmente no sistema e que não é suscetível de levantar suspeitas. Por exemplo, o atacante pode escolher um processo associado a uma aplicação comummente utilizada, como um navegador Web ou um cliente de correio eletrónico.
O atacante pode também escolher um processo que tenha as permissões necessárias para realizar a atividade maliciosa desejada. Por exemplo, se o atacante quiser modificar as definições do sistema, pode escolher um processo que tenha privilégios administrativos.
Vazamento de memória
O próximo passo na técnica process hollowing é esvaziar o espaço de memória do processo alvo. Isso envolve suspender o processo alvo e então modificar seu espaço de memória para criar um shell para o código malicioso. Normalmente, isto é feito usando chamadas de sistema de baixo nível que permitem ao atacante manipular diretamente o espaço de memória do processo.
O esvaziamento do espaço de memória é uma operação delicada que requer um conhecimento profundo do processo alvo e do sistema operativo. Se for feita de forma incorrecta, pode provocar o bloqueio do processo alvo, o que pode alertar o utilizador ou os administradores do sistema para o ataque.
Execução de código malicioso
Uma vez que o espaço de memória tenha sido esvaziado e o código malicioso tenha sido injetado, o atacante retoma a execução do processo alvo. O código malicioso está agora a ser executado no contexto do processo legítimo e pode realizar as suas actividades maliciosas sem levantar suspeitas.
A execução do código malicioso é normalmente efectuada de forma a parecer que faz parte do funcionamento normal do processo alvo. Isto pode tornar extremamente difícil para o software de segurança detetar a atividade maliciosa.
Furtividade e Evasão
Uma das principais vantagens do process hollowing é a sua capacidade de evitar a deteção por software de segurança. Como o código malicioso está a ser executado no contexto de um processo legítimo, pode muitas vezes contornar as medidas de segurança concebidas para detetar e bloquear processos maliciosos.
Além disso, como o código malicioso está a ser executado no espaço de memória do processo alvo, pode muitas vezes escapar à deteção por software de segurança que analisa o sistema de ficheiros em busca de ficheiros maliciosos. Isto faz do process hollowing uma técnica particularmente furtiva e eficaz para a execução de código malicioso.
Actividades maliciosas
O código malicioso injetado através do process hollowing pode ser concebido para executar uma vasta gama de actividades maliciosas. Estas podem incluir o roubo de informações sensíveis, tais como nomes de utilizador e palavras-passe; o lançamento de denial of service attacks; a criação de um backdoor no sistema; ou o descarregamento e instalação de malware adicional.
As actividades específicas realizadas pelo código malicioso dependerão dos objectivos do atacante. No entanto, independentemente das actividades específicas, o código malicioso será normalmente concebido para funcionar de forma furtiva, a fim de evitar a deteção e prolongar a sua presença no sistema.
Prevenção e deteção de cavidades no processo
Prevenir e detetar o process hollowing pode ser um desafio devido à sua natureza furtiva e à utilização de processos legítimos para executar código malicioso. No entanto, existem várias estratégias que podem ser usadas para mitigar o risco de ataques process hollowing.
Uma estratégia é utilizar software de segurança que seja capaz de detetar comportamentos anómalos nos processos. Isso pode incluir o uso incomum de memória, conexões de rede inesperadas ou chamadas de sistema incomuns. Ao monitorizar estes sinais de comportamento anómalo, pode ser possível detetar um ataque process hollowing em curso.
Análise comportamental
A análise comportamental é uma técnica utilizada por algum software de segurança para detetar actividades maliciosas. Isto envolve a monitorização do comportamento dos processos e a procura de sinais de atividade maliciosa. Por exemplo, se um processo começa subitamente a fazer chamadas de sistema ou ligações de rede invulgares, isto pode ser um sinal de um ataque process hollowing.
A análise comportamental pode ser uma forma eficaz de detetar ataques process hollowing, mas requer uma compreensão sofisticada do comportamento normal do processo. Além disso, pode consumir muitos recursos, pois requer monitoramento e análise constantes do comportamento do processo.
Forense de memória
A análise forense da memória é outra técnica que pode ser usada para detetar ataques process hollowing. Isto envolve a análise do espaço de memória dos processos para procurar sinais de atividade maliciosa. Por exemplo, se o espaço de memória de um processo contém código que não corresponde ao código no disco, isso pode ser um sinal de um ataque process hollowing.
A análise forense da memória pode ser uma ferramenta poderosa para detetar ataques process hollowing, mas requer conhecimentos e ferramentas especializados. Além disso, pode consumir muito tempo, pois envolve a análise de grandes quantidades de dados.
Conclusão
O Process Hollowing é uma técnica sofisticada e furtiva utilizada pelos ciberataques para executar código malicioso no contexto de processos legítimos. Embora possa ser difícil de detetar e prevenir, compreender o seu funcionamento pode ajudar a desenvolver estratégias eficazes para mitigar os seus riscos.
Ao monitorizar os sinais de comportamento anómalo, utilizando a análise comportamental e a análise forense da memória, e empregando software de segurança capaz de detetar tais ataques, é possível proteger os sistemas contra o process hollowing e manter a integridade do seu ambiente digital.
Com o aumento das ameaças à cibersegurança, as organizações precisam de proteger todas as áreas do seu negócio. Isto inclui a defesa dos seus sítios Web e aplicações Web contra bots, spam e abusos. Em particular, as interações na Web, como logins, registos e formulários online, estão cada vez mais sob ataque.
Para proteger as interações na Web de uma forma fácil de utilizar, totalmente acessível e compatível com a privacidade, o Friendly Captcha oferece uma alternativa segura e invisível aos captchas tradicionais. É usado com sucesso por grandes empresas, governos e startups em todo o mundo.
Quer proteger o seu sítio Web? Saiba mais sobre o Friendly Captcha "
English 
German 
French 
Spanish 
Italian 
Portuguese