الـ Process injection تكنيك يستخدم من قبل الهكرز لإخفاء الـ Malware بطريقة يصعب اكتشافها
بالثريد هذا راح اشرح الـ Process injection و اشهر انواعه نظريًا ، و بثريد قادم راح نسوي Analysis و Detection لـ جهاز مصاب.
لايك على طريقك وقراءة ممتعة!
بالثريد هذا راح اشرح الـ Process injection و اشهر انواعه نظريًا ، و بثريد قادم راح نسوي Analysis و Detection لـ جهاز مصاب.
لايك على طريقك وقراءة ممتعة!
بالبداية يفضل تكون عندك معرفة بسيطة بانظمة التشغيل عشان تفهم الكونسبت بشكل واضح ومعرفة بسيطة بالـ Win32 API وعلمًا راح اذكر عدد من الـ APIs و راح اميزها باستخدام الاقواس [ المربعة ]
تخيل معي عندك مالوير وتبي تخفيه داخل بروسيس طبيعية عشان ما تثير الشكوك .. على سبيل المثال اسم المالوير malware.exe و المالوير ظاهر على الـ Task manger فـ بطبيعة الحال راح تشك فيه وتسوي End Task وكذا ما استفدنا شيء
ولكن لو استخدمنا احد طرق البروسيس انجكشن راح نقدر ناخذ كود المالوير و نحقنه داخل بروسيس مستحيل تشك فيها ، على سبيل المثال Google Chrome فـ راح يختفي malware.exe ويدخل بالبروسيس حق قوقل كروم
ولكن هنا فيه مشكلة بسيطة اللي هي قوقل كروم البروسيس حقه غير ثابت يعني ممكن تقفله ويروح الـ Injection .. فـ بهذي الحالة ممكن نستعين بـ Process ثابته مثل svchost.exe ودائمًا اثناء التحليل او التحقيق تذكر هذي الملاحظة 👍
الـ Process Injection له انواع كثيرة و تكنيكات مختلفة ومن اشهرهم :
- Dll injection
- PE injection
- Process Hollowing
ولكن راح اركز على Process Hollowing لانه مستخدم بكثره.
- Dll injection
- PE injection
- Process Hollowing
ولكن راح اركز على Process Hollowing لانه مستخدم بكثره.
الـ Process Hollowing وخطوات عمل المالوير :
(1) يسوي المالوير Process جديده طبيعيه وماعليها اي شك ولنعتبرها notepad.exe مثلًا .. ولازم تكون بالـ Suspended Mode او في حالة عدم الاستخدام او بطريقة اخرى تكون موقوفة 😅 وتكون باستخدام [CreateProcess]
(1) يسوي المالوير Process جديده طبيعيه وماعليها اي شك ولنعتبرها notepad.exe مثلًا .. ولازم تكون بالـ Suspended Mode او في حالة عدم الاستخدام او بطريقة اخرى تكون موقوفة 😅 وتكون باستخدام [CreateProcess]

(2) صار عندنا بروسيس في حالة الـ Suspended حلو ؟ حلو .. الان لازم تسوي unmapping لمحتويات البروسيس او نفرغ اي داتا داخل البروسيس وتكون باستخدام [NtUnmapViewOfSection]

او [ZwUnmapViewOfSection]
(2) صار عندنا بروسيس في حالة الـ Suspended حلو ؟ حلو .. الان لازم تسوي unmapping لمحتويات البروسيس او نفرغ اي داتا داخل البروسيس وتكون باستخدام [NtUnmapViewOfSection]

او [ZwUnmapViewOfSection]
(3) بعد ما سوينا unmapping للبروسيس نستدعي [VirtualAllocEx] عشان نخصص مساحة للـ code حق المالوير

(4) والان نستدعي [WriteProcessMemory] عشان نكتب الكود الضار داخل البروسيس الموثوقه
(5) وبالاخير يتم استدعاء [ResumeThread] عشان نوقف الـ Suspended mode و يكمل البروسيس بشكل طبيعي
وهي بمثالنا الـ notepad.exe
(4) والان نستدعي [WriteProcessMemory] عشان نكتب الكود الضار داخل البروسيس الموثوقه
(5) وبالاخير يتم استدعاء [ResumeThread] عشان نوقف الـ Suspended mode و يكمل البروسيس بشكل طبيعي
وهي بمثالنا الـ notepad.exe
كانت هذي خطوات الـ Process Hollowing بشكل مفصل تقريبًا ، وان شاء الله بالثريدات القادمة نستعرض طرق اكتشافه وتحليله بالميموري.
وبالختام .. إن أحسنت فمن الله، وإن أسأت أو أخطأت فمن نفسي والشيطان.
وبالختام .. إن أحسنت فمن الله، وإن أسأت أو أخطأت فمن نفسي والشيطان.
جاري تحميل الاقتراحات...