Waiting Thread Hijacking
A Check Point Research cikke bemutatja a Waiting Thread Hijacking (WTH) nevű új technikát, amely a klasszikus szál-eltérítési módszer egy kifinomultabb változata. Ez a módszer lehetővé teszi a támadók számára, hogy észrevétlenül hajtsanak végre kódinjekciót egy futó folyamatba, elkerülve a hagyományos észlelési mechanizmusokat.
A WTH lényege, hogy a támadó nem hoz létre új szálat, hanem egy már létező, várakozó állapotban lévő szálat használ fel a kód végrehajtására. Ahelyett, hogy a szál kontextusát módosítaná, a támadó a szál visszatérési címét cseréli le a saját kódjára. Amikor a szál befejezi a várakozást, automatikusan a támadó kódját hajtja végre, majd visszatér az eredeti végrehajtási útvonalra, minimalizálva ezzel a rendszer stabilitására gyakorolt hatást.
Ez a technika különösen hatékony, mivel elkerüli azokat az API-hívásokat, mint a SuspendThread
, ResumeThread
vagy SetThreadContext
, amelyek gyakran riasztásokat váltanak ki a végpontvédelmi rendszerekben. A WTH által használt API-k, például a NtQuerySystemInformation
, GetThreadContext
, ReadProcessMemory
, VirtualAllocEx
, WriteProcessMemory
és VirtualProtectEx
, kevésbé gyanúsak, így a támadás nehezebben észlelhető.
A kutatók demonstrálták, hogy a WTH technika képes megkerülni több végpontvédelmi megoldást, amelyek más injekciós módszereket, például az APC-injekciót vagy a klasszikus szál-eltérítést képesek észlelni. A módszer hatékonyságát tovább növeli, hogy a támadók a végrehajtási lépéseket különálló folyamatokra oszthatják, tovább csökkentve a detektálás esélyét.