Gli esperti di cybersecurity della società SafeBreach hanno sviluppato una nuova strategia per l’iniezione di processi, battezzata Pool Party, che consente di bypassare le cosiddette soluzioni EDR, ovvero i software di Endpoint Detection and Response. L’innovativo sistema trasgressivo è stato presentato durante la conferenza Black Hat Europe del 2023.
Sfruttando le meno indagate thread pool di Windows, gli studiosi sono riusciti a ideare un inedito vettore di attacco per l’iniezione di processi. Questa scoperta ha portato alla luce otto nuove tecniche di iniezione di processi, in grado di attivare l’esecuzione di codici maligni come risultato di un’operazione legittima.
“Le tecniche sono state in grado di funzionare su tutti i processi senza alcuna limitazione, rendendole più flessibili delle esistenti tecniche di iniezione di processi. E, ancora più importante, le tecniche si sono rivelate completamente non rilevabili quando testate contro cinque principali soluzioni EDR.” si legge nell’analisi pubblicata dai ricercatori.
La tecnica di iniezione di processi è costituita da una catena di tre primitive: per l’allocazione di memoria sul processo target, per la scrittura di codice malevolo sulla memoria allocata e per l’esecuzione del codice malevolo scritto.
Dopo aver testato più primitive, gli esperti hanno determinato che le soluzioni EDR rilevano principalmente l’iniezione di processi attraverso il tracciamento della primitiva esecutiva. Hanno quindi concentrato i loro sforzi sulla creazione di una primitiva esecutiva basata solo su primitive di allocazione e scrittura. Analizzando il thread pool utente di Windows, hanno cercato la possibilità di innescare l’esecuzione di malware attraverso un’azione legittima.
Ogni processo Windows possiede un thread pool per default, e i thread pool hanno sia codice kernel che utente. Gli studiosi hanno ipotizzato che sia possibile abusare delle worker factory per poter realizzare l’iniezione di processi.
Una worker factory è un oggetto Windows che supervisiona i thread worker del thread pool, crea o termina questi ultimi secondo necessità. Non programma o esegue elementi di lavoro, ma assicura un adeguato numero di thread worker.
Tra le tecniche scoperte dai ricercatori, una sfrutta la routine di avvio delle worker factory, mentre le altre utilizzano i tre tipi di coda.
“Ricordando i tipi di coda, gli elementi di lavoro asincroni sono messi in coda alla coda di completamento I/O. La coda di completamento I/O è un oggetto Windows che funge da coda per le operazioni I/O completate. Le notifiche vengono inserite nella coda una volta completata un’operazione I/O. Il thread pool si affida alla coda di completamento I/O per ricevere notifiche quando è completata l’operazione di un elemento di lavoro asincrono.” prosegue il rapporto.
SafeBreach ha ottenuto un tasso di successo del 100 percento nel bypassare le principali soluzioni EDR come:
- Palo Alto Cortex
- SentinelOne EDR
- CrowdStrike Falcon
- Microsoft Defender For Endpoint
- Cybereason EDR
“Sebbene le moderne EDR si siano evolute per rilevare le note tecniche di iniezione di processo, la nostra ricerca ha dimostrato che è ancora possibile sviluppare tecniche inedite, indetectibili e potenzialmente devastanti.” conclude SafeBreach. “Gli attori delle minacce sofisticate continueranno a esplorare nuovi e innovativi metodi di iniezione di processo, e i fornitori di strumenti di sicurezza e i praticanti devono essere proattivi nella loro difesa contro di loro.”