Microwave: Bei welchen Prozessen genau hat EAM process hollowing nicht erkannt und Kaspersky schon? Wundert mich, Poweliks wird erkannt von EAM und der setzt auch auf dieses Prinzip.

Zitat:

Zitat von Avenger77

Microwave: Bei welchen Prozessen genau hat EAM process hollowing nicht erkannt und Kaspersky schon? Wundert mich, Poweliks wird erkannt von EAM und der setzt auch auf dieses Prinzip.

Habe nochmal nachgeforscht: Gegen EAM hatte ich kein Process Hollowing angewendet, da bereits normales Öffnen für Vollzugriff (so normal das Öffnen mittels sogenannten syscall-Instruktionen halt ist) des lsass.exe-Prozesses auf Windows 7 SP1 64 bit mit Erfolg belohnt wurde.
Gegen KAV2015 musste ich hingegen "unmerklich" tiefer in die Trickkiste greifen, da KAV2015 nicht (nur?) Usermode-Hooks einsetzte.

Für technisch Unbedarftere:
Es ist nicht die Rede davon, irgendwelche Exes zu scannen, ob sie "Viren" enthalten, sondern davon, frühzeitig zu alarmieren, wenn die als ungefährlich betrachtete Datei ausgeführt wird und unerwartet "eigenartige" Dinge zu tun versucht.
Mit "eigenartig" ist folgendes gemeint:
Kein Microsoft Office oder Internet Explorer würde jemals versuchen, kritische Systemprozesse zu öffnen, wenn so etwas dennoch passiert, ist etwas sehr faul.

Vielleicht noch notabene: Wurde vom Angreifer ein einziger der kritischen Systemprozesse (lsass.exe gehört dazu) auch nur ein einziges Mal
mit genügend Rechten für "Schreiben in dessen Speicherbereich" und "Ändern des Speicherschutzes" geöffnet, ist das Spielchen
zu Ende und der Rechner kompromittiert. Selbst Kaspersky kann dann nicht mehr feststellen,
ob der momentan ausgeführte Code auf die Registry zugreifen darf oder nicht.
Dafür benötigt der Angreifer i.d.R. Adminrechte.
Es lässt sich aber zeigen, dass Malware so entwickelt werden kann, dass sie selbst ohne Adminrechte jegliche spätere Verhaltenserkennung austricksen kann,
indem etwa der Windows-Explorer befallen wird.

Das mal so nebenbei, oder anders, weshalb es sinnlos ist, Process Hollowing via NtUnmapViewOfSection-Hooks erkennen zu wollen.
Process Hollowing kann einzig und alleine daran erkannt werden, dass ein fremder Prozess versucht, eine bekannte, ("trusted") Systemapplikation auszuführen, oder daran, dass diese vom fremden Prozess gestartete Datei versucht, einen Systemprozess mit Schreibrechten zu öffnen. KAV erkennt Letzteres und schlägt Alarm.

Alle Ausführungen beziehen sich auf die 64-Bit-Editionen von Windows, wo nur noch eine sehr begrenzte Anzahl an "Kernelhooks" (Filter-Interfaces) zur Verfügung stehen.
Usermode-Hooks sind aus nicht näher erläuterten Gründen erfahrungsgemäss 100 % wirkungslos.


Grüsse

Microwave

TL;DR Das ist wohl langsam mein letzter Post, da ohnehin alle zwei Tage wieder ein neues Thema erstellt wird, wo es wieder auf die ein- oder andere Art ums Gleiche geht.

Einmal mehr: Bei verhaltensbasierten AV-Systemen hilft es nur, das Öffnen eines Prozesses auf's Genauste zu überwachen und zu bewerten, da alles andere prinzipbedingt zu spät ist.
Wer nicht glaubt, was ich "gemessen" habe, kann die Versuche gerne bei sich wiederholen, die Laborbedingungen wurden jeweils sehr genau dokumentiert.
Für Signaturen muss die Malware offensichtlich bereits bekannt sein und da helfen auch 2-stündige Updates nichts, da auch
die AV-Hersteller erst auf den Trichter kommen müssen, dass eine neue Malware im Umlauf ist.