Process Ghosting: o que é e qual a relação com a falta de atualização de softwares?
- Atualizado em
- Por Naty Santos
- Malwares
Pesquisadores de segurança descobriram uma nova tática maliciosa utilizada por cibercriminosos para driblar as detecções de segurança: o uso de adulteração de imagem para implantar códigos maliciosos no sistema Windows.
Mas o que seria o Process Ghosting? Qual a sua relação com a falta de atualização de softwares?
O que você vai ver neste post
O que é o Process Ghosting
Esta técnica utiliza um executável para alterar a imagem, utilizando-se de códigos maliciosos ocultos para driblar as defesas e a detecção antimalware.
Ela tem algumas semelhanças com os métodos Doppelgänging e Herpaderping.
O Doppelgänging
O Process Doppelgänging é uma técnica de exploração de ransomware que injeta códigos sem arquivos para apoiar o malware para escapar da detecção.
Ele aproveita-se de uma função interna do Windows (transações NTFS e o carregador de processos do Windows desatualizados).
Este malware opera em todas as versões modernas do sistema operacional Microsoft Windows, incluindo o Windows 10.
O ataque Doppelgänging usa transações NTFS para substituir a memória de um processo legítimo, enganando as ferramentas de monitoramento de processos e os antivírus para que eles confiem que um processo legítimo está em execução.
O Herpaderping
O Process Herpaderping é uma técnica que contorna a detecção de antivírus.
O método consiste em obscurecer o comportamento de um processo em execução, modificando o executável em disco após o mapeamento da imagem na memória.
Primeiramente, a carga escolhida é criptografada e incorporada em um arquivo executável portátil do carregador. Este arquivo é então incluído no executável final. Uma vez que este executável é lançado no destino, o carregador PE é largado no disco e executado.
Como funciona o Process Ghosting
Com essa técnica, o invasor pode gravar um malware no disco, dificultando a varredura e a exclusão. Em seguida, o malware excluído é executado como se fosse um arquivo normal no disco. A investida não envolve injeção de código, esvaziamento de processo ou NTFS transacional.
Há um intervalo entre o momento da criação do processo e a notificação da sua criação pelas soluções de segurança; isso confere aos desenvolvedores de malware, tempo para adulterar o executável antes que seja descoberto pelas plataformas de segurança.
Como evitar
Diariamente milhares de códigos maliciosos são desenvolvidos com a finalidade de explorar a vulnerabilidade dos sistemas. Quando o usuário não realiza as atualizações abre portas para os criminosos digitais. É imprescindível realizar todas as atualizações de software para evitar ataques como o Process Ghosting, pois além de corrigir falhas internas do aplicativo, também pode trazer melhorias de usabilidade, novas funcionalidades etc.
Softwares desatualizados podem causar vários problemas para a empresa, veja:
- Ataques cibernéticos: Pesquisas indicam que 70% das empresas estão vulneráveis a incidentes por utilizarem versões desatualizadas de softwares. Outro dado alerta que 85% de todos os ataques poderiam ser evitados se os softwares estivessem com as atualizações vigentes e se medidas de segurança fossem aplicadas.
- Incompatibilidade: Quando um software é criado, é desenvolvido para utilizar as tecnologias, sistemas e hardwares em operação no momento. Entretanto, estes recursos estão em constante evolução, tornando-se necessário realizar as atualizações para continuar compatível com as tecnologias que a empresa possui.
- Perda de dados, impactando em seu relacionamento com o cliente
- Falhas no sistema operacional e lentidão de sistemas
Sobre nós
A VaultOne surgiu da necessidade de entender e atender à demanda de muitas empresas em relação a privilégios e controle de acesso do usuário, que é um problema de TI complexo e abre muitas lacunas para ameaças e vulnerabilidades internas e externas.
Conheça o que a VaultOne pode fazer por sua empresa. Fale hoje mesmo com nossos especialistas.
