研究人员发现了““进程重影”；一种新的恶意软件规避技术

网络安全研究人员披露了一种新的可执行图像篡改攻击，称为“进程重影”，攻击者可能会利用这种攻击绕过保护，并在Windows系统上秘密运行恶意代码。

Elastic安全研究人员Gabriel Landau说：“有了这种技术，攻击者可以将一个恶意软件写入磁盘，这样就很难扫描或删除它—；然后它会像执行磁盘上的常规文件一样执行删除的恶意软件。”。“这种技术不涉及代码注入、进程空洞化或事务性NTFS（TxF）。”

进程重影扩展了以前记录的端点绕过方法，如进程Doppelgäking和进程Herpaderping，从而使恶意代码能够隐蔽地执行，从而避免反恶意软件防御和检测。

Process Doppelgäinging类似于Process Hollow，涉及在合法应用程序的实时进程的地址空间中注入任意代码，然后可以从受信任的服务执行这些代码。Process Herpaderping于去年10月首次详细介绍，它描述了一种通过在映像映射到内存后修改磁盘上的可执行文件来隐藏正在运行的进程行为的方法。

这种规避之所以有效，是因为“在创建进程的时间和安全产品收到创建通知的时间之间存在差距”，在安全产品扫描可执行文件之前，恶意软件开发人员有机会篡改可执行文件。

进程重影比Doppelgäking和Herpaderping更进一步，它可以运行已经删除的可执行文件。它利用了Windows阻止修改或删除映射可执行文件的尝试只会生效这一事实之后二进制文件被映射到图像部分。

“这意味着可以创建一个文件，将其标记为删除，将其映射到一个图像部分，关闭文件句柄以完成删除，然后从现在的无文件部分创建一个进程，”兰多解释道。“这是过程重影。”

在一个概念验证（PoC）演示中，研究人员详细描述了一个场景，其中Windows Defender试图打开一个恶意有效负载可执行文件进行扫描，但由于文件处于删除挂起状态而未能打开，然后由于文件已被删除而再次失败，从而使其能够不受阻碍地执行。

弹性安全说，它在2021年5月向微软安全响应中心（MSRC）报告了这一问题，随后Windows制造商声明了“不符合他们的服务条款”，并在2020年7月向MSRC负责的过程中回应了类似的回应。

就微软而言，它已经在今年1月早些时候发布了一个更新版本的Sysinternals套件，其中包含一个改进的系统监视器（又称Sysmon）实用程序，以帮助检测进程Herpaderping和进程空洞攻击。

因此，Sysmon 13.00版（及更高版本）现在可以在恶意软件篡改合法进程时生成并记录“事件ID 25”，如果进程映像从其他进程更改，微软指出，该事件是“当进程的映射映像与磁盘映像文件不匹配，或者映像文件被锁定以进行独占访问时”触发的