Injecao de processos
O que é Injecao de processos?
Injecao de processosFamilia de tecnicas de evasao em que o atacante executa codigo malicioso dentro do espaco de memoria de um processo legitimo para herdar a sua confianca e identidade.
A injecao de processos cobre qualquer metodo que coloca codigo controlado pelo atacante na memoria de outro processo e leva esse processo a executa-lo, fazendo a atividade parecer originada por um programa assinado ou esperado. Variantes comuns incluem injecao de DLL, reflective DLL loading, process hollowing, injecao por APC, sequestro de thread e AtomBombing. Os objetivos sao evasao, persistencia, escalada de privilegios e acesso a credenciais (por exemplo, leitura da memoria do LSASS). O MITRE ATT&CK agrega-as como T1055 com subtecnicas. A detecao depende de telemetria EDR cross-process e de escrita em memoria, callbacks de kernel, eventos Sysmon 8 e 10, baseline de arvores pai-filho de processos e protecoes como Credential Guard e Code Integrity.
● Exemplos
- 01
Process hollowing: arrancar notepad.exe suspenso, desmapear a sua imagem, escrever um payload e retomar.
- 02
Injecao APC a partir de um beacon para o explorer.exe para sobreviver sem largar novos ficheiros.
● Perguntas frequentes
O que é Injecao de processos?
Familia de tecnicas de evasao em que o atacante executa codigo malicioso dentro do espaco de memoria de um processo legitimo para herdar a sua confianca e identidade. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Injecao de processos?
Familia de tecnicas de evasao em que o atacante executa codigo malicioso dentro do espaco de memoria de um processo legitimo para herdar a sua confianca e identidade.
Como se defender contra Injecao de processos?
As defesas contra Injecao de processos costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.