Injecao de processos
O que é Injecao de processos?
Injecao de processosFamilia de tecnicas de evasao em que o atacante executa codigo malicioso dentro do espaco de memoria de um processo legitimo para herdar a sua confianca e identidade.
A injecao de processos cobre qualquer metodo que coloca codigo controlado pelo atacante na memoria de outro processo e leva esse processo a executa-lo, fazendo a atividade parecer originada por um programa assinado ou esperado. Variantes comuns incluem injecao de DLL, reflective DLL loading, process hollowing, injecao por APC, sequestro de thread e AtomBombing. Os objetivos sao evasao, persistencia, escalada de privilegios e acesso a credenciais (por exemplo, leitura da memoria do LSASS). O MITRE ATT&CK agrega-as como T1055 com subtecnicas. A detecao depende de telemetria EDR cross-process e de escrita em memoria, callbacks de kernel, eventos Sysmon 8 e 10, baseline de arvores pai-filho de processos e protecoes como Credential Guard e Code Integrity.
● Exemplos
- 01
Process hollowing: arrancar notepad.exe suspenso, desmapear a sua imagem, escrever um payload e retomar.
- 02
Injecao APC a partir de um beacon para o explorer.exe para sobreviver sem largar novos ficheiros.
● Perguntas frequentes
O que é Injecao de processos?
Familia de tecnicas de evasao em que o atacante executa codigo malicioso dentro do espaco de memoria de um processo legitimo para herdar a sua confianca e identidade. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Injecao de processos?
Familia de tecnicas de evasao em que o atacante executa codigo malicioso dentro do espaco de memoria de um processo legitimo para herdar a sua confianca e identidade.
Como funciona Injecao de processos?
A injecao de processos cobre qualquer metodo que coloca codigo controlado pelo atacante na memoria de outro processo e leva esse processo a executa-lo, fazendo a atividade parecer originada por um programa assinado ou esperado. Variantes comuns incluem injecao de DLL, reflective DLL loading, process hollowing, injecao por APC, sequestro de thread e AtomBombing. Os objetivos sao evasao, persistencia, escalada de privilegios e acesso a credenciais (por exemplo, leitura da memoria do LSASS). O MITRE ATT&CK agrega-as como T1055 com subtecnicas. A detecao depende de telemetria EDR cross-process e de escrita em memoria, callbacks de kernel, eventos Sysmon 8 e 10, baseline de arvores pai-filho de processos e protecoes como Credential Guard e Code Integrity.
Como se defender contra Injecao de processos?
As defesas contra Injecao de processos costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- attacks№ 332
Injecao de DLL
Tecnica de injecao de codigo que forca um processo Windows alvo a carregar e executar uma biblioteca dinamica (DLL) fornecida pelo atacante.
- malware№ 417
Malware sem ficheiro
Malware que corre essencialmente em memória e tira partido de ferramentas legítimas do sistema, evitando executáveis tradicionais em disco.
- defense-ops№ 298
Evasão de Defesas
Tática MITRE ATT&CK (TA0005) que reúne técnicas usadas para evitar deteção, desativar ferramentas de segurança e ocultar a atividade do atacante no sistema alvo.
- malware№ 649
Malware
Qualquer software concebido intencionalmente para perturbar, danificar ou obter acesso não autorizado a computadores, redes ou dados.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
- defense-ops№ 682
Mimikatz
Ferramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS.
● Veja também
- № 1124Sysmon
- № 964Sandbox Escape
- № 331Sequestro de DLL
- № 610Sequestro via LD_PRELOAD