La tecnica di process hollowing, anche conosciuta come runPE, è una tecnica di slealtà informatica che viene utilizzata per nascondere un payload malevolo all'interno di un processo legittimo in esecuzione su un sistema operativo Windows.
Questa tecnica sfrutta il meccanismo di creazione di nuovi processi in Windows, consentendo al malware di prendere il controllo di un processo legittimo senza essere rilevato dalle soluzioni di sicurezza. In sostanza, anziché creare un proprio processo, il malware sostituisce il codice eseguibile di un processo legittimo con il proprio codice malevolo.
Per eseguire questa tecnica, il malware sfrutta una serie di chiamate al sistema operativo:
La tecnica di process hollowing/runPE è particolarmente pericolosa in quanto può bypassare molti meccanismi di sicurezza che potrebbero altrimenti rilevare e bloccare l'attività malevola. Pertanto, è importante per gli utenti e gli amministratori di sistema monitorare attentamente i processi in esecuzione sul proprio sistema e utilizzare soluzioni di sicurezza aggiornate per rilevare e prevenire questo tipo di attacco.
Questa tecnica sfrutta il meccanismo di creazione di nuovi processi in Windows, consentendo al malware di prendere il controllo di un processo legittimo senza essere rilevato dalle soluzioni di sicurezza. In sostanza, anziché creare un proprio processo, il malware sostituisce il codice eseguibile di un processo legittimo con il proprio codice malevolo.
Per eseguire questa tecnica, il malware sfrutta una serie di chiamate al sistema operativo:
- CreateProcess: viene utilizzata per creare un nuovo processo legittimo che sarà l'obiettivo del malware.
- Sospendi il processo appena creato utilizzando la funzione SuspendThread per poter eliminare il suo contenuto.
- VirtualAllocEx: viene utilizzata per allocare uno spazio di memoria all'interno del processo creato.
- WriteProcessMemory: consente al malware di scrivere il proprio codice all'interno della memoria del processo legittimo.
- SetThreadContext: imposta il contesto del thread con un nuovo valore dell'Instruction Pointer (IP) per eseguire il codice malevolo.
- Riprendi l'esecuzione del processo utilizzando la funzione ResumeThread.
La tecnica di process hollowing/runPE è particolarmente pericolosa in quanto può bypassare molti meccanismi di sicurezza che potrebbero altrimenti rilevare e bloccare l'attività malevola. Pertanto, è importante per gli utenti e gli amministratori di sistema monitorare attentamente i processi in esecuzione sul proprio sistema e utilizzare soluzioni di sicurezza aggiornate per rilevare e prevenire questo tipo di attacco.