译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1093
术语表: /attack/glossary
进程镂空指的是创建一个挂起的进程,取消其内存映射并替换成恶意代。与进程注入类似,恶意代码的执行也隐藏在合法进程之下,可以规避防御和检测分析。
这种类型的攻击技术不能简单通过预防性控制缓解,因为它基于滥用操作系统的设计特性。 例如,减少特定 API 调用可能会产生意料外的副作用,比如阻止合法软件(即安全产品)正常运行。 应该集中精力防止攻击者工具在活动链中更早地运行以及识别后续恶意行为。 虽然进程镂空可以用来规避某些类型的防御,识别可用于执行攻击者的操作的潜在恶意软件,并在适当的情况下使用白名单 工具,像 AppLocker, 或软件限制策略 它,这仍然是好的实践。
监控 API 调用可能产生大量的数据,并且对防御可能没有直接用处,除非是在特定情况下针对已知的错误调用序列收集,因为良性的 API 函数调用可能是常见的,难以将其与恶意行为区分开。 取消进程内存映射的 API (如 ZwUnmapViewOfSection 或 NtUnmapViewOfSection) 以及可用于修改另一个进程中的内存(如 WriteProcessMemory) 可用于该技术。
分析进程行为,以确定其是否正在执行通常不执行的操作,例如打开网络连接、读取文件或其他可能与攻击后行为相关的可疑操作。