Process Injection
Was ist Process Injection?
Process InjectionEine Familie von Evasion-Techniken, bei denen ein Angreifer Schadcode im Adressraum eines legitimen Prozesses ausfuehrt, um dessen Vertrauen und Identitaet zu erben.
Process Injection umfasst alle Methoden, mit denen vom Angreifer kontrollierter Code in den Speicher eines anderen Prozesses geschrieben und dort ausgefuehrt wird, sodass die Aktivitaet wie von einem signierten oder erwarteten Programm wirkt. Gaengige Varianten sind DLL-Injection, Reflective DLL Loading, Process Hollowing, APC-Queue-Injection, Thread Hijacking und AtomBombing. Typische Ziele sind Defense Evasion, Persistence, Privilege Escalation und Credential Access (etwa Auslesen des LSASS-Speichers). MITRE ATT&CK bundelt sie unter T1055 mit Sub-Techniken. Detection setzt auf EDR mit Cross-Process- und Memory-Write-Telemetrie, Kernel-Callbacks, Sysmon-Events 8 und 10, Baselining von Parent-Child-Prozessbaeumen sowie Schutzmechanismen wie Credential Guard und Code Integrity.
● Beispiele
- 01
Process Hollowing: notepad.exe suspended starten, das Image entmappen, Payload schreiben und fortsetzen.
- 02
APC-Injection eines Beacons in explorer.exe, um ohne neues File zu persistieren.
● Häufige Fragen
Was ist Process Injection?
Eine Familie von Evasion-Techniken, bei denen ein Angreifer Schadcode im Adressraum eines legitimen Prozesses ausfuehrt, um dessen Vertrauen und Identitaet zu erben. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Process Injection?
Eine Familie von Evasion-Techniken, bei denen ein Angreifer Schadcode im Adressraum eines legitimen Prozesses ausfuehrt, um dessen Vertrauen und Identitaet zu erben.
Wie funktioniert Process Injection?
Process Injection umfasst alle Methoden, mit denen vom Angreifer kontrollierter Code in den Speicher eines anderen Prozesses geschrieben und dort ausgefuehrt wird, sodass die Aktivitaet wie von einem signierten oder erwarteten Programm wirkt. Gaengige Varianten sind DLL-Injection, Reflective DLL Loading, Process Hollowing, APC-Queue-Injection, Thread Hijacking und AtomBombing. Typische Ziele sind Defense Evasion, Persistence, Privilege Escalation und Credential Access (etwa Auslesen des LSASS-Speichers). MITRE ATT&CK bundelt sie unter T1055 mit Sub-Techniken. Detection setzt auf EDR mit Cross-Process- und Memory-Write-Telemetrie, Kernel-Callbacks, Sysmon-Events 8 und 10, Baselining von Parent-Child-Prozessbaeumen sowie Schutzmechanismen wie Credential Guard und Code Integrity.
Wie schützt man sich gegen Process Injection?
Schutzmaßnahmen gegen Process Injection kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- attacks№ 332
DLL-Injection
Code-Injection-Technik, die einen Windows-Zielprozess zwingt, eine vom Angreifer bereitgestellte DLL zu laden und auszufuehren.
- malware№ 417
Dateilose Malware
Schadsoftware, die hauptsächlich im Arbeitsspeicher läuft und vertrauenswürdige Systemwerkzeuge nutzt, ohne klassische ausführbare Dateien auf der Festplatte.
- defense-ops№ 298
Defense Evasion
MITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.
- malware№ 649
Schadsoftware
Jede Software, die absichtlich entwickelt wurde, um Computer, Netzwerke oder Daten zu stören, zu beschädigen oder unbefugt darauf zuzugreifen.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
- defense-ops№ 682
Mimikatz
Ein Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.
● Siehe auch
- № 1124Sysmon
- № 964Sandbox-Escape
- № 331DLL-Hijacking
- № 610LD_PRELOAD-Hijacking