Process Hollowing
Der Process-Hollowing-Angriff wird von Hackern genutzt, um einen ansonsten legitimen Prozess dazu zu bringen, bösartigen Code auszuführen. Dieser Angriff ist unter Umständen in der Lage, Verteidigungsmaßnahmen, wie beispielsweise Software zur Erkennung von Bedrohungen, zu umgehen.
Process-Hollowing-Exploits werden häufig über bösartige Links in Phishing-E-Mails initiiert. Ein Windows-Anwender könnte zum Beispiel einen der infizierten Links auswählen und dadurch das System dazu bringen, einen PowerShell-Befehl auszuführen. Ähnlich wie andere Arten von Code-Injection-Angriffen ist Process Hollowing mitunter schwer zu erkennen.
Wie Process Hollowing funktioniert
Die verwendete Schadsoftware ermöglicht es dem Angreifer in der Regel, etwas an einem Softwareprogramm vorzunehmen, das echt zu sein scheint beispielsweise eine Pause während eines Startvorgangs. Während dieser Pause kann der Angreifer legitimen Code in der ausführbaren Datei des Programms entfernen und durch bösartigen Code ersetzen. Dies wird als Hollowing bezeichnet. Wenn der Startvorgang wieder aufgenommen wird, führt das Programm den Code des Angreifers aus, bevor es normal weiterläuft. Im Wesentlichen ermöglicht Process Hollowing dem Angreifer, eine legitime ausführbare Datei in einen bösartigen Container zu verwandeln, der vertrauenswürdig zu sein scheint. Bei dieser Strategie ist es wahrscheinlich, dass die Antimalware-Software auf dem Zielsystem nicht in der Lage ist, diesen Austauschprozess zu erkennen.
Wie kann man mit Process Hollowing umgehen?
Die Verhinderung von Process-Hollowing-Angriffen ist schwierig, da sie oft erforderliche Systemprozesse ausnutzen. Da der bösartige Code auch etwaige Spuren von sich auf dem Datenträger löschen kann, um nicht erkannt zu werden, ist die Erkennung zusätzlich schwierig. Für diese Art von Advanced Peristent Threat (APT) haben sich neuere Security-Lösungen etabliert, die dem Marktsegment EDR (Endpoint Detection and Response) zugerechnet werden. Diese sind in der Lage verdächtige Aktionen und andere Probleme auf Endpunkten zu erkennen und zu untersuchen.