TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Process Hollowing (まとめ)

【目次】

概要

【辞典】

◆Process Hollowing (ATT&CK)

プロセスの空洞化は、プロセスが中断状態で作成され、そのメモリがマップされずに悪意のあるコードに置き換えられたときに発生します。プロセス注入と同様に、悪意のあるコードの実行は正当なプロセスの下で隠され、防御および検出分析を回避する可能性があります。

https://attack.mitre.org/wiki/Technique/T1093

【概要】

■攻撃方法

  • CreateProcessを使用して無害なプロセス(Internet Explorerなど)を開始する
  • 特定のフラグを設定してプロセスを一時停止モードで作成
  • 中断されたプロセスから無害なプロセスのコードを削除
  • 独自の悪意のあるコードを挿入し、プロセスを再開

※ プロセスが作成されたとき(開始時に一時停止されている場合でも)初期スキャンのみが実行される
※ この場合、Procmonなどの動的分析ツールは、良性のプロセスが作成されたことをログに記録/表示する
*1


記事

【ニュース】

■2018年

◆マルウェアの「URLZone」、プロセスホローイング手法で日本企業に攻撃 (ZDNet, 2018/06/21 11:37)
https://japan.zdnet.com/article/35121156/

【ブログ】

■2016年

◆オンライン銀行詐欺ツール「BEBLOH」に誘導するスパムメール、日本に拡大 (Trendmicro, 2016/07/13)
http://blog.trendmicro.co.jp/archives/13597
https://malware-log.hatenablog.com/entry/2016/07/13/000000_3


■2017年

◆Ten Process Injection Techniques: A Technical Survey Of Common And Trending Process Injection Techniques (ENDGAME, 2017/07/18)
https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process
https://malware-log.hatenablog.com/entry/2017/07/18/000000_4

◆Windows Defender ATP でステルス性の高いクロスプロセス インジェクション手法を検出する: プロセス ハロウイングと AtomBombing (日本のセキュリティチーム(Microsoft), 2017/08/16)
https://blogs.technet.microsoft.com/jpsecurity/2017/08/16/detecting-stealthier-cross-process-injection-techniques-with-windows-defender-atp-process-hollowing-and-atom-bombing/
https://malware-log.hatenablog.com/entry/2017/08/16/000000_6

◆Process Hollowing (Weird Wired World, 2017/11/07)
http://enufranz.hatenablog.com/entry/2017/11/07/185826
https://malware-log.hatenablog.com/entry/2017/11/07/000000_13

◆不正メールで拡散される高度なテクニックを組み合わせたダウンローダーの脅威 (MBSD, 2017/12/14)
https://www.mbsd.jp/blog/20171214.html
https://malware-log.hatenablog.com/entry/2017/12/14/000000_6


■2019年

◆Process Hollowingで展開された後の実行プログラムの抽出方法(その1) (reverse-eg-mal-memoのブログ, 2019/09/23)
https://ameblo.jp/reverse-eg-mal-memo/entry-12528761886.html

【公開情報】

■2017年

■Process Hollowing (WikiLeaks, 2017/03/07)
https://wikileaks.org/ciav7p1/index.html
https://malware-log.hatenablog.com/entry/2017/03/07/000000_9


■2018年

◆Threat Spotlight: URLZone Malware Campaigns Targeting Japan (Threat Vector(Cylance), 2018/06/20)
https://threatvector.cylance.com/en_us/home/threat-spotlight-urlzone-malware-campaigns-targeting-japan.html
https://malware-log.hatenablog.com/entry/2018/06/20/000000

【図表】

f:id:tanigawa:20180623234639j:plain
Cylanceが2~4月にURLZoneを検出した日本企業と日本以外の企業の推移(出典:Cylance)
f:id:tanigawa:20180623234621j:plain
「プロセスホローイング」を含む攻撃の流れ(出典:Cylance)
出典: https://japan.zdnet.com/article/35121156/

関連情報

【関連まとめ記事】

全体まとめ

◆攻撃手法 (まとめ)
https://malware-log.hatenablog.com/entry/Attack_Method


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020