EDR解决方案未检测到的新注入技术

违规和攻击模拟公司 SafeBreach 发现了八种新的进程注入技术，这些技术利用 Windows 线程池来触发恶意代码执行，作为合法操作的结果。

SafeBreach 表示，被称为Pool Party 的注入变体可以在所有流程中不受限制地工作，并且完全不会被领先的端点检测和响应 (EDR) 解决方案检测到。

网络安全公司解释说，进程注入通常涉及三个原语，用于在目标进程上分配内存、向分配的内存写入恶意代码以及执行代码。

由于 EDR 解决方案的检测功能基于执行原语，因此 SafeBreach 研究了创建基于分配和写入原语并通过合法操作触发执行的解决方案的可能性。

最终，网络安全公司发现 Windows 用户模式线程池代表了进程注入的可行区域，因为默认情况下所有 Windows 进程都有一个线程池。

通过查看线程池架构，该公司确定了四个可能被滥用于进程注入的潜在区域，即负责管理线程池工作线程的工作工厂、与三种类型的受支持工作项相关联的三种类型的队列。

第一个发现的进程注入技术滥用了工作工厂的启动例程，而其他七个滥用了三种队列类型：一个滥用任务队列，五个滥用I/O完成队列，而第八个滥用计时器队列。

然后，该公司针对五种 EDR 解决方案（即 Palo Alto Cortex、SentinelOne EDR、CrowdStrike Falcon、Microsoft Defender for Endpoint 和 Cybereason EDR）测试了每个已识别的 Pool Party 变体。

SafeBreach 说：“我们实现了 100% 的成功率，因为没有一个 EDR 能够检测或阻止池派对攻击。我们向每个供应商报告了这些发现，并相信他们正在进行更新以更好地检测这些类型的技术。”

该公司指出，这项研究证明，尽管 EDR 解决方案已经发展到可以检测已知的进程注入技术，但仍然可以开发出无法检测的新方法，这可能会产生毁灭性的影响。

SafeBreach 总结道：“老练的威胁行为者将继续探索新的和创新的流程注入方法，安全工具供应商和从业者必须积极主动地防御它们。”

— 欢迎关注 —