Process hollowing

Le process hollowing est un exploit de sécurité dans lequel un attaquant supprime du code dans un fichier exécutable et le remplace par du code malveillant. L'attaque par évidement de processus est utilisée par les pirates pour faire en sorte qu'un processus autrement légitime exécute un code malveillant. Cette attaque peut être réalisée tout en échappant aux défenses potentielles, telles que les logiciels d'analyse de détection.

Les exploits de process hollowing sont souvent initiés par des liens malveillants dans des courriels de phishing. Par exemple, un utilisateur de Windows pourrait sélectionner l'un des liens infectés, conduisant son ordinateur à exécuter une commande PowerShell. Cette commande pourrait alors télécharger et installer le malware de l'attaquant.

Similaire à d'autres types d'attaques par injection de code, le process hollowing peut être difficile à détecter.

Comment ça marche

Le malware utilisé permettra généralement à l'attaquant de faire quelque chose à un logiciel qui semble réel, comme "ajouter une pause pendant le processus de lancement." Pendant la pause, l'attaquant peut supprimer le code légitime dans le fichier exécutable du programme et le remplacer par du code malveillant. C'est ce qu'on appelle le "hollowing". Lorsque le processus de lancement reprend, il exécute le code de l'attaquant avant de continuer à s'exécuter normalement. Essentiellement, l'évidement de processus permet à l'attaquant de transformer un fichier exécutable légitime en un conteneur malveillant qui semble être digne de confiance. Cette stratégie signifie qu'il est très probable que le logiciel antimalware de la cible ne pourra pas détecter qu'il y a eu un swap.

Comment faire face au process hollowing

Il est difficile de prévenir les attaques de process hollowing car elles exploitent les processus système requis. Il est également difficile de détecter les attaques de process hollowing car le code malveillant peut supprimer des traces de lui-même sur le disque pour éviter d'être identifié. Par conséquent, de nombreux fournisseurs de solutions de sécurité recommandent l'utilisation de stratégies post-intrusion pour faire face aux attaques par évidement de processus. De ce fait, un nouveau segment de marché pour ce type de menace persistante avancée (APT) est en train d'émerger. Le cabinet d'études Gartner appelle ce nouveau segment de marché "endpoint detection and response (EDR)". L'EDR se concentre sur la création d'outils qui détectent et étudient les actions suspectes et autres problèmes sur les hôtes et les points de terminaison.