T1055.012

Process Hollowing

توضیحات

مهاجمان یک فرآیند قانونی را در حالت suspended ایجاد می‌کنند، کد اصلی آن را از حافظه خالی می‌کنند و با کد مخرب جایگزین می‌کنند. این تکنیک که به عنوان RunPE نیز شناخته می‌شود، به مهاجمان اجازه می‌دهد کد مخرب را در قالب یک فرآیند قانونی اجرا کنند.

روش‌های شناسایی

نظارت بر ایجاد فرآیندهای suspended. شناسایی تفاوت بین کد روی دیسک و در حافظه. بررسی فرآیندهایی که image آن‌ها تغییر کرده. استفاده از EDR با memory scanning.

روش‌های مقابله

استفاده از EDR با قابلیت memory scanning. فعال‌سازی DEP و ASLR. پیاده‌سازی Control Flow Guard. استفاده از Windows Defender. به‌روزرسانی ویندوز.

تکنیک اصلی

T1055Process Injection

تزریق به فرآیند

مهاجمان کد مخرب را به فرآیندهای در حال اجرا تزریق می‌کنند تا از فضای آدرس آن‌ها برای پنهان‌سازی و ارتقاء سطح دسترسی استفاده کنند. تزریق به فرآیندهای با سطح دسترسی بالا می‌تواند به مهاجمان اجازه دهد به منابع سیستمی که معمولاً غیرقابل دسترس هستند دسترسی داشته باشند.

سایر زیرتکنیک‌ها (6)

T1055.001 · تزریق DLL T1055.002 · تزریق Portable Executable T1055.003 · ربودن اجرای thread T1055.004 · فراخوانی رویه ناهمزمان T1055.013 · Process Doppelgänging T1055.015 · ListPlanting