Process hollowing é um exploit de segurança no qual um atacante remove o código de um arquivo executável e o substitui por código malicioso. O ataque de processo hollowing é usado por hackers para causar um processo legítimo de execução de código malicioso. Este ataque pode ser feito enquanto evade possíveis defesas, tais como software de análise de detecção.
Explorações de processo de "hollowing" são frequentemente iniciadas através de links maliciosos em e-mails de phishing. Por exemplo, um usuário do Windows pode selecionar um dos links infectados, levando seu computador a executar um comando PowerShell. Esse comando poderia então baixar e instalar o malware do atacante.
Similiar a outros tipos de ataques de injeção de código, o processo de "hollowing" pode ser difícil de detectar.
Como funciona
O malware usado normalmente permitirá que o atacante faça algo a um programa de software que parece real, como "adicionar uma pausa durante o processo de lançamento". Durante a pausa, o atacante pode remover o código legítimo no arquivo executável do programa e substituí-lo por código malicioso. Isto é chamado de "hollowing". Quando o processo de lançamento é retomado, ele executará o código do atacante antes de continuar a execução normal. Essencialmente, o processo de "hollowing" permite que o atacante transforme um arquivo executável legítimo em um recipiente malicioso que parece ser confiável. Esta estratégia significa que é altamente provável que o software antimalware do alvo não será capaz de detectar que houve um swap.
Como lidar com o processo de hollowing
É difícil prevenir ataques de processo de hollowing porque eles exploram os processos necessários do sistema. Também é difícil de detectar ataques de processo de escavação porque o código malicioso pode apagar vestígios de si mesmo do disco para evitar ser identificado. Como resultado, muitos vendedores de segurança estão recomendando o uso de estratégias pós-incisão para lidar com o processo de "hollowing". Por causa disso, um novo segmento de mercado para esse tipo de ameaça persistente avançada (APT) está surgindo. A empresa de pesquisa Gartner está chamando o novo segmento de mercado de "endpoint detection and response (EDR)". EDR foca na criação de ferramentas que detectam e investigam ações suspeitas e outros problemas em hosts e endpoints.