Process Ghosting: o que é e qual a relação com a falta de atualização de softwares?

Share on facebook
Share on twitter
Share on linkedin
Share on reddit
Share on whatsapp

Pesquisadores de segurança descobriram uma nova tática maliciosa utilizada por cibercriminosos para driblar as detecções de segurança: o uso de adulteração de imagem para implantar códigos maliciosos no sistema Windows.

Mas o que seria o Process Ghosting? Qual a sua relação com a falta de atualização de softwares?

O que você vai ver neste post

O que é o Process Ghosting

Esta técnica utiliza um executável para alterar a imagem, utilizando-se de códigos maliciosos ocultos para driblar as defesas e a detecção antimalware.

Ela tem algumas semelhanças com os métodos Doppelgänging e Herpaderping.

O Doppelgänging

O Process Doppelgänging é uma técnica de exploração de ransomware que injeta códigos sem arquivos para apoiar o malware para escapar da detecção.

Ele aproveita-se de uma função interna do Windows (transações NTFS e o carregador de processos do Windows desatualizados).

Este malware opera em todas as versões modernas do sistema operacional Microsoft Windows, incluindo o Windows 10.

O ataque Doppelgänging usa transações NTFS para substituir a memória de um processo legítimo, enganando as ferramentas de monitoramento de processos e os antivírus para que eles confiem que um processo legítimo está em execução.

O Herpaderping

O Process Herpaderping é uma técnica que contorna a detecção de antivírus. 

O método consiste em obscurecer o comportamento de um processo em execução, modificando o executável em disco após o mapeamento da imagem na memória.

Primeiramente, a carga escolhida é criptografada e incorporada em um arquivo executável portátil do carregador. Este arquivo é então incluído no executável final. Uma vez que este executável é lançado no destino, o carregador PE é largado no disco e executado. 

Como funciona o Process Ghosting

Com essa técnica, o invasor pode gravar um malware no disco, dificultando a varredura e a exclusão. Em seguida, o malware excluído é executado como se fosse um arquivo normal no disco. A investida não envolve injeção de código, esvaziamento de processo ou NTFS transacional.

Há um intervalo entre o momento da criação do processo e a notificação da sua criação pelas soluções de segurança; isso confere aos desenvolvedores de malware, tempo para adulterar o executável antes que seja descoberto pelas plataformas de segurança.

Como evitar

Diariamente milhares de códigos maliciosos são desenvolvidos com a finalidade de explorar a vulnerabilidade dos sistemas. Quando o usuário não realiza as atualizações abre portas para os criminosos digitais. É imprescindível realizar todas as atualizações de software para evitar ataques como o Process Ghosting, pois além de corrigir falhas internas do aplicativo, também pode trazer melhorias de usabilidade, novas funcionalidades etc.

Softwares desatualizados podem causar vários problemas para a empresa, veja:

  1. Ataques cibernéticos: Pesquisas indicam que 70% das empresas estão vulneráveis a incidentes por utilizarem versões desatualizadas de softwares. Outro dado alerta que 85% de todos os ataques poderiam ser evitados se os softwares estivessem com as atualizações vigentes e se medidas de segurança fossem aplicadas.
  2. Incompatibilidade: Quando um software é criado, é desenvolvido para utilizar as tecnologias, sistemas e hardwares em operação no momento. Entretanto, estes recursos estão em constante evolução, tornando-se necessário realizar as atualizações para continuar compatível com as tecnologias que a empresa possui.
  3. Perda de dados, impactando em seu relacionamento com o cliente
  4. Falhas no sistema operacional e lentidão de sistemas

Sobre nós

A VaultOne surgiu da necessidade de entender e atender à demanda de muitas empresas em relação a privilégios e controle de acesso do usuário, que é um problema de TI complexo e abre muitas lacunas para ameaças e vulnerabilidades internas e externas. 

Conheça o que a VaultOne pode fazer por sua empresa. Fale hoje mesmo com nossos especialistas.

ACOMPANHE
nossas redes

RECEBA NOTÍCIAS
no seu e-mail