Комментарии 5
Подскажите, пожалуйста, по вопросу: вы, когда проверили предположение о вредоносности процесса, извлекли исполняемую нагрузку из памяти. Как именно вы достали полезную нагрузку и как она выглядит?
Вот вы пишете что инжект (будем называть вещи своими именами) в легитимный процесс - способ сокрытия ВПО. Вы экспериментально пробовали этого утверждение проверять? Например, пишете программу которая будет описанным образом стартовать легитимный notepad.exe и дальше инжектить в него какой-то код, не обязательно вредоносный. Потом ставите на систему антивирус со стандартными настройками и пробуете вашу тестовую программу запустить. Инжект - это не просто подозрительное поведение, такие штуки надо блокировать для всех, кто не в белом списке, так-то...
Добрый день, дело в том, что описанные в статье техники широко применялись в определенный период времени целым спектром небезызвестного ВПО (trickbot, bazar loader и т.д.), однако уже изжили свои дни из-за того, что вендоры научили антивирусы их обнаруживать. Сейчас полностью обновленный Windows Defender, легко обнаружит эти вещи, однако на более старых системах вроде Win7, я проверял средства с Github, которые показали себя в лучшем свете. Целью статьи было не показать что-то новое, а объяснить механизмы уже существующих техник и рассказать про базовые методы обнаружения вредоносной активности такого характера.
Бесфайловое ВПО и методы детектирования в ОС Windows