fbpx

Process Ghosting: o que é e qual a relação com a falta de atualização de softwares?

Pesquisadores de segurança descobriram uma nova tática maliciosa utilizada por cibercriminosos para driblar as detecções de segurança: o uso de adulteração de imagem para implantar códigos maliciosos no sistema Windows.

Mas o que seria o Process Ghosting? Qual a sua relação com a falta de atualização de softwares?

O que você vai ver neste post

O que é o Process Ghosting

Esta técnica utiliza um executável para alterar a imagem, utilizando-se de códigos maliciosos ocultos para driblar as defesas e a detecção antimalware.

Ela tem algumas semelhanças com os métodos Doppelgänging e Herpaderping.

O Doppelgänging

O Process Doppelgänging é uma técnica de exploração de ransomware que injeta códigos sem arquivos para apoiar o malware para escapar da detecção.

Ele aproveita-se de uma função interna do Windows (transações NTFS e o carregador de processos do Windows desatualizados).

Este malware opera em todas as versões modernas do sistema operacional Microsoft Windows, incluindo o Windows 10.

O ataque Doppelgänging usa transações NTFS para substituir a memória de um processo legítimo, enganando as ferramentas de monitoramento de processos e os antivírus para que eles confiem que um processo legítimo está em execução.

O Herpaderping

O Process Herpaderping é uma técnica que contorna a detecção de antivírus. 

O método consiste em obscurecer o comportamento de um processo em execução, modificando o executável em disco após o mapeamento da imagem na memória.

Primeiramente, a carga escolhida é criptografada e incorporada em um arquivo executável portátil do carregador. Este arquivo é então incluído no executável final. Uma vez que este executável é lançado no destino, o carregador PE é largado no disco e executado. 

Como funciona o Process Ghosting

Com essa técnica, o invasor pode gravar um malware no disco, dificultando a varredura e a exclusão. Em seguida, o malware excluído é executado como se fosse um arquivo normal no disco. A investida não envolve injeção de código, esvaziamento de processo ou NTFS transacional.

Há um intervalo entre o momento da criação do processo e a notificação da sua criação pelas soluções de segurança; isso confere aos desenvolvedores de malware, tempo para adulterar o executável antes que seja descoberto pelas plataformas de segurança.

Como evitar

Diariamente milhares de códigos maliciosos são desenvolvidos com a finalidade de explorar a vulnerabilidade dos sistemas. Quando o usuário não realiza as atualizações abre portas para os criminosos digitais. É imprescindível realizar todas as atualizações de software para evitar ataques como o Process Ghosting, pois além de corrigir falhas internas do aplicativo, também pode trazer melhorias de usabilidade, novas funcionalidades etc.

Softwares desatualizados podem causar vários problemas para a empresa, veja:

  1. Ataques cibernéticos: Pesquisas indicam que 70% das empresas estão vulneráveis a incidentes por utilizarem versões desatualizadas de softwares. Outro dado alerta que 85% de todos os ataques poderiam ser evitados se os softwares estivessem com as atualizações vigentes e se medidas de segurança fossem aplicadas.
  2. Incompatibilidade: Quando um software é criado, é desenvolvido para utilizar as tecnologias, sistemas e hardwares em operação no momento. Entretanto, estes recursos estão em constante evolução, tornando-se necessário realizar as atualizações para continuar compatível com as tecnologias que a empresa possui.
  3. Perda de dados, impactando em seu relacionamento com o cliente
  4. Falhas no sistema operacional e lentidão de sistemas

Sobre nós

A VaultOne surgiu da necessidade de entender e atender à demanda de muitas empresas em relação a privilégios e controle de acesso do usuário, que é um problema de TI complexo e abre muitas lacunas para ameaças e vulnerabilidades internas e externas. 

Conheça o que a VaultOne pode fazer por sua empresa. Fale hoje mesmo com nossos especialistas.