Ciberatacantes utilizan nueva técnica de inyección de código
Mientras realizaban un análisis profundo de varias muestras de malware, los investigadores de seguridad de Cyberbit descubrieron una nueva técnica de inyección de código, llamada Early Bird, que era utilizada por al menos tres tipos de malware sofisticados que ayudaban a los atacantes a evitar la detección.
Early Bird es una técnica "simple pero poderosa" que permite a los atacantes inyectar código malicioso en un proceso legítimo antes de que su ataque principal comience, evitando así la detección por los motores de Windows utilizados por la mayoría de los productos antimalware.
La técnica de inyección de código Early Bird "carga el código malicioso en una etapa muy temprana de la inicialización del hilo del proceso, antes de que muchos productos de seguridad inicien sus detecciones, lo que permite que el malware realice sus acciones maliciosas sin ser detectado", dijeron los investigadores.
La técnica es similar a la técnica de inyección de código AtomBombing que no depende de llamadas API fáciles de detectar, lo que permite que el malware inyecte código en los procesos de una manera que ninguna herramienta antimalware puede detectar.
El método de inyección de código Early Bird se basa en una función incorporada de Windows APC (Asynchronous Procedure Calls) que permite a las aplicaciones ejecutar código de forma asincrónica en el contexto de un hilo en particular.
A continuación, presentamos una breve explicación paso a paso de cómo un atacante puede inyectar código malicioso en un proceso legítimo de forma que se ejecute antes de que un programa antimalware inicie el análisis.
- Crear un proceso suspendido de un proceso legítimo de Windows (por ejemplo, svchost.exe)
- Asignar memoria en ese proceso (svchost.exe) y escribir el código malicioso en la región de memoria asignada.
- Poner en cola una llamada a procedimiento asíncrono (APC) al hilo principal de ese proceso (svchost.exe),
- Como APC puede ejecutar un proceso solo cuando está en estado de alerta, llamar a la función NtTestAlert para forzar al kernel a ejecutar el código malicioso tan pronto como se reanude el hilo principal.
Según los investigadores, al menos tres malware mencionados a continuación se encontraron utilizando la inyección de código Early Bird en en el medio.
- Puerta trasera "TurnedUp", desarrollada por un grupo pirata iraní (APT33)
- Una variante del malware bancario "Carberp"
- El malware "DorkBot"
Inicialmente descubierto por FireEye en septiembre de 2017, TurnedUp es una puerta trasera que es capaz de filtrar datos del sistema objetivo, crear shells inversas, tomar capturas de pantalla y recopilar información del sistema.
Data del 2012, DorBot es un malware botnet distribuido a través de enlaces en redes sociales, aplicaciones de mensajería instantánea o medios extraíbles infectados y se usa para robar credenciales de usuarios para servicios en línea, incluidos servicios bancarios, participar en ataques de denegación de servicio distribuida (DDoS), enviar spam e infectar con otro malware a las computadoras de las víctimas.
Los investigadores también han proporcionado una demostración en video, que muestra la nueva técnica de inyección de código Early Bird en acción.
Como funciona la inyección de código de Early Bird
Artículos relacionados:
- Ataque BoundHook explota la característica MPX de INTEL SKYLAKE
- Ataques sin malware provocan una gran fuga de información
- Detectan nuevo ransomware sin archivo con capacidad de inyección de código