Process hollowing es una vulnerabilidad de seguridad en la que un atacante elimina el código de un archivo ejecutable y lo reemplaza con código malicioso. Los piratas informáticos utilizan el ataque de vaciado de procesos para hacer que un proceso legítimo ejecute código malicioso. Este ataque se puede realizar evadiendo posibles defensas, como el software de análisis de detección.
Los exploits de vaciado de procesos a menudo se inician a través de enlaces maliciosos en correos electrónicos de phishing. Por ejemplo, un usuario de Windows podría seleccionar uno de los enlaces infectados, haciendo que su computadora ejecute un comando de PowerShell. Ese comando podría descargar e instalar el malware del atacante.
Al igual que otros tipos de ataques de inyección de código, el vaciado de procesos puede ser difícil de detectar.
¿Cómo funciona?
El malware utilizado normalmente permitirá al atacante hacer algo en un programa de software que parece real, como "agregar una pausa durante el proceso de inicio". Durante la pausa, el atacante puede eliminar el código legítimo del archivo ejecutable del programa y reemplazarlo con código malicioso. Esto se conoce como vaciado. Cuando se reanude el proceso de lanzamiento, ejecutará el código del atacante antes de continuar ejecutándose normalmente. Básicamente, el vaciado de procesos permite al atacante convertir un archivo ejecutable legítimo en un contenedor malicioso que parece ser confiable. Esta estrategia significa que es muy probable que el software antimalware del objetivo no pueda detectar que hubo un intercambio.
Cómo lidiar con el proceso de vaciado
Es difícil prevenir los ataques de vaciado de procesos porque explotan los procesos requeridos del sistema. También es difícil detectar ataques de vaciado de procesos porque el código malicioso puede eliminar rastros de sí mismo del disco para evitar ser identificado. Como resultado, muchos proveedores de seguridad recomiendan el uso de estrategias posteriores a la infracción para lidiar con el vaciado de procesos. Debido a esto, está surgiendo un nuevo segmento de mercado para este tipo de amenaza persistente avanzada (APT). La firma de investigación Gartner está llamando al nuevo segmento de mercado "detección y respuesta de terminales (EDR)". EDR se enfoca en crear herramientas que detectan e investigan acciones sospechosas y otros problemas en hosts y endpoints.