Process hollowing è un exploit di sicurezza in cui un utente malintenzionato rimuove il codice in un file eseguibile e lo sostituisce con codice dannoso. L'attacco che svuota il processo viene utilizzato dagli hacker per indurre un processo altrimenti legittimo a eseguire codice dannoso. Questo attacco può essere eseguito eludendo potenziali difese, come il software di analisi del rilevamento.
Gli exploit di svuotamento del processo vengono spesso avviati tramite collegamenti dannosi nelle e-mail di phishing. Ad esempio, un utente Windows potrebbe selezionare uno dei collegamenti infetti, portando il proprio computer a eseguire un comando di PowerShell. Quel comando potrebbe quindi scaricare e installare il malware dell'aggressore.
Analogamente ad altri tipi di attacchi di iniezione di codice, l'hollowing del processo può essere difficile da rilevare.
Come funziona
Il malware utilizzato in genere consente all'autore dell'attacco di eseguire operazioni su un programma software che sembra reale, ad esempio "aggiungere una pausa durante il processo di avvio". Durante la pausa, l'aggressore può rimuovere il codice legittimo nel file eseguibile del programma e sostituirlo con codice dannoso. Questo è indicato come svuotamento. Quando il processo di avvio riprende, eseguirà il codice dell'aggressore prima di continuare a funzionare normalmente. In sostanza, il process hollowing consente all'autore dell'attacco di trasformare un file eseguibile legittimo in un contenitore dannoso che sembra essere affidabile. Questa strategia significa che è molto probabile che il software antimalware del target non sia in grado di rilevare che c'è stato uno scambio.
Come affrontare lo svuotamento del processo
È difficile prevenire gli attacchi che svuotano i processi perché sfruttano i processi di sistema richiesti. È anche difficile rilevare attacchi che svuotano il processo perché il codice dannoso può eliminare le tracce di se stesso dal disco per evitare di essere identificato. Di conseguenza, molti fornitori di sicurezza raccomandano l'uso di strategie post-violazione per affrontare l'interruzione del processo. Per questo motivo, sta emergendo un nuovo segmento di mercato per questo tipo di minaccia persistente avanzata (APT). La società di ricerca Gartner chiama il nuovo segmento di mercato "rilevamento e risposta degli endpoint (EDR)". EDR si concentra sulla creazione di strumenti che rilevano e indagano su azioni sospette e altri problemi su host ed endpoint.