Amenazas avanzadas de Malware usan la poderosa técnica de inyección de código llamada Early Bird que ayuda a evadir la detección del software Anti-Malware
La técnica de inyección de código permite que el malware inserte el código malicioso en un proceso legítimo y se ejecute antes de un punto de entrada del proceso en la amenaza principal.
Esta nueva técnica utiliza el producto antimalware para evadir la detección, ya que el proceso de inyección maliciosa comenzó antes de que un Anti-Malware inicie su proceso de exploración.
Dado que el código malicioso se ha inyectado antes del punto de entrada del proceso legítimo, el análisis anti Malware solo realiza el proceso legitimado, por lo tanto, ofusca la ejecución del código malicioso.
Varios nuevos programas maliciosos están utilizando esta técnica, como DorkBot, para evadir la detección y poner en peligro las computadoras de destino.
Cómo funciona la técnica de inyección de código Early Bird
Las fallas de inyección del Código Early Bird comienzan con la creación de un proceso suspendido (un nuevo proceso que se ejecuta y continúa dentro del proceso en ejecución) y este proceso suspendido ( svchost.exe ) probablemente sea un proceso legítimo de Windows.
Una vez que se haya creado el proceso suspendido ( svchost.exe ), el malware asignará una memoria y escribirá un código malicioso en ese proceso.
Después de la asignación de memoria requerida, escribe el código malicioso en el espacio de memoria asignado, también se denomina infección de proceso hueco.
Más tarde pone en cola una llamada a procedimiento asíncrono (APC) para ejecutar el código en el hilo principal y reanudar el hilo para la ejecución y la dirección de inicio apuntada al punto de entrada del código malicioso.
Según Microsoft, "cuando un APC en modo usuario está en cola, el hilo al que está en cola no está dirigido a llamar a la función APC a menos que esté en estado de alerta", por lo que APC estará en estado de alerta para ejecutar el APC.
De acuerdo con Cyberbit Research, "el hilo ni siquiera ha comenzado su ejecución ya que el proceso fue creado en un estado suspendido. ¿Cómo sabe el malware que este hilo será alertable en algún momento? ¿Este método funciona exclusivamente en svchost.exe o funcionará siempre cuando se cree un proceso suspendido? "
En este caso el malware puede abusar del otro proceso también y los investigadores analizan el proceso que revela al reanudar la amenaza principal y carga el código malicioso en una etapa muy temprana de la inicialización del hilo, antes de que muchos productos de seguridad coloquen sus ganchos, que permite que el malware realice sus acciones maliciosas sin ser detectado.
Fecha actualización el 2021-04-13. Fecha publicación el 2018-04-13. Categoría: malware. Autor: Oscar olg Mapa del sitio Fuente: gbhacker