Исследователи из западной ИБ-компании Outflank рассказали о новом методе внедрения кода под названием Early Cascade Injection, который позволяет обходить современные системы обнаружения угроз (EDR).
Новая техника задействует особенности процесса создания приложений в Windows и минимизирует риск обнаружения, эффективно конкурируя с популярными методами вроде Early Bird APC Injection.
В основе Early Cascade Injection лежит вмешательство в создание процессов на уровне пользовательского режима. Метод объединяет преимущества Early Bird APC Injection и недавно разработанного EDR-Preloading. В отличие от ранних методов, новый подход устраняет необходимость использования межпроцессного вызова асинхронных процедур (APC), что снижает вероятность обнаружения.
Техника Early Cascade Injection способна эффективно обходить системы обнаружения, так как позволяет внедрять код до того, как EDR успевает активировать защитные механизмы. Например, при загрузке первых DLL-модулей EDR часто вставляет свои хуки, чтобы отслеживать активность. Новый метод вмешивается как раз на этой стадии, что может сорвать запуск таких защитных модулей.
«Атака, связанная с внедрением в процессы создания приложений Windows на ранней стадии, делает её особенно «скрытной», так как она не требует модификации системных прав доступа и исключает подозрительные взаимодействия между процессами. Данная уязвимость может быть использована для обхода стандартных систем обнаружения угроз в целях загрузки вредоносного кода. С наблюдением за «активностью» процессов на устройстве поможет справиться платформа расширенной аналитики Ankey ASAP, позволяющая детектировать аномалии в поведении пользователей и сущностей. Для пресечения использования подобного рода уязвимостей следует обновлять системные компоненты, включая критически важные библиотеки, а также мониторить изменения в поведении инициированных процессов», — говорит Никита Титаренко, инженер-аналитик Лаборатории исследований кибербезопасности «Газинформсервиса».