Een nieuwe verzameling van acht procesinjectietechnieken, gezamenlijk genaamd Zwemfeestkunnen worden misbruikt om code-uitvoering in Windows-systemen te bewerkstelligen en tegelijkertijd EDR-systemen (endpoint detectie en respons) te omzeilen.
SafeBreach-onderzoeker Alon Leviev zei dat de methoden “zonder enige beperking in alle processen kunnen werken, waardoor ze flexibeler zijn dan bestaande procesinjectietechnieken.”
De bevindingen werden vorige week voor het eerst gepresenteerd op de Black Hat Europe 2023-conferentie.
Procesinjectie verwijst naar een ontwijkingstechniek die wordt gebruikt om willekeurige code in een doelproces uit te voeren. Er bestaat een breed scala aan procesinjectietechnieken, zoals DLL-injectie (Dynamic Link Library), draagbare uitvoerbare injectie, het kapen van threads, procesuitholling en procesdoppelgänging.
PoolParty wordt zo genoemd omdat het is geworteld in een component genaamd Windows-gebruikersmodus-threadpool, en deze gebruikt om elk type werkitem in een doelproces op het systeem in te voegen.
Het werkt door zich te richten op worker-fabrieken (die verwijzen naar Windows-objecten die verantwoordelijk zijn voor het beheer van threadpool-worker-threads) en door de startroutine te overschrijven met kwaadaardige shellcode voor daaropvolgende uitvoering door de worker-threads.
“Afgezien van de wachtrijen kan de arbeidersfabriek die fungeert als manager van de werkthreads, worden gebruikt om de werkthreads over te nemen”, merkte Leviev op.
SafeBreach zei dat het zeven andere procesinjectietechnieken kon bedenken met behulp van de takenwachtrij (reguliere werkitems), I/O-voltooiingswachtrij (asynchrone werkitems) en de timerwachtrij (timerwerkitems) op basis van de ondersteunde werkitems.
Het is gebleken dat PoolParty een succespercentage van 100% behaalt ten opzichte van populaire EDR-oplossingen, waaronder die van CrowdStrike, Cybereason, Microsoft, Palo Alto Networks en SentinelOne.
De onthulling komt bijna zes maanden nadat Security Joes heeft onthuld dat een andere procesinjectietechniek, Mockingjay genaamd, door bedreigingsactoren kan worden uitgebuit om beveiligingsoplossingen te omzeilen en kwaadaardige code uit te voeren op gecompromitteerde systemen.
“Hoewel moderne EDR’s zijn geëvolueerd om bekende procesinjectietechnieken te detecteren, heeft ons onderzoek bewezen dat het nog steeds mogelijk is om nieuwe technieken te ontwikkelen die niet detecteerbaar zijn en het potentieel hebben om een verwoestende impact te hebben”, concludeerde Leviev.
“Geavanceerde dreigingsactoren zullen nieuwe en innovatieve methoden voor procesinjectie blijven onderzoeken, en leveranciers en beoefenaars van beveiligingstools moeten proactief zijn in hun verdediging hiertegen.”
