process doppelgänging

Plusieurs malwares utilisent le “Process Doppelgänging”

La technique d’injection de code sans-fichier nommée Process Doppelgänging est utilisée par un nombre important de familles de malware.

Découvert en 2017, le Process Doppelgänging est une variante sans-fichier de la technique Process Injection qui utilise une fonction de Windows pour échapper à la détection et fonctionne sur toute les versions modernes du système d’exploitation Microsoft Windows.

L’attaque Process Doppelgänging utilise une fonction de Windows appelé Transactional NTFS (TxF) pour exécuter un processus malveillant en remplaçant la mémoire d’un processus légitime, trompant les outils de surveillance de processus et les antivirus pour qu’ils croient qu’un processus légitime est en cours d’exécution.

Quelques mois après la divulgation de cette technique, une variante du ransomware SynAck est devenu le premier malware à exploiter la technique Process Doppelgänging, faisant des victimes aux Etats-Unis, au Koweït, en Allemagne et en Iran.

Process Doppelgänging fusionne avec Process Hollowing

Peu de temps après, les chercheurs ont découvert un injecteur (dropper) pour le cheval de Troie bancaire Osiris qui utilisait aussi cette technique et la combinait avec une autre technique appelé Process Hollowing.

Aujourd’hui, il semblerait que plus de 20 familles de malware—y compris FormBook, LokiBot, SmokeLoader, AZORult, NetWire, njRat, Pony stealer et le ransomware GandCrab—utilisent des injecteurs de malware qui se servent de cette implémentation hybride de l’attaque Process Doppelgänging pour échapper à la détection.

process doppelgänging attack

Après avoir analyser des centaines d’échantillons de malware, les chercheurs en sécurité de enSilo ont découvert sept versions différentes de l’injecteur qu’ils ont décidé d’appeler “TxHollower“.

Les chercheurs pensent que les injecteurs TxHollower sont rendus disponible aux cybercriminels via un framework ou un kit d’exploit. Cela expliquerait l’augmentation de l’utilisation de cette technique.

L’échantillon le plus vieux de l’injecteur qui contient la fonctionnalité TxHollower a été utilisé en Mars 2018 pour distribuer le RAT Netwire, et a ensuite été trouvé dans des versions de GandCrab, en commençant par la v5 jusqu’à la v5.2.

Les chercheurs de enSilo ont aussi trouvé quelques échantillons dans des fichiers MSI et parfois les injecteurs étaient imbriqués les uns dans les autres.

Si vous voulez en savoir plus sur le Process Doppelgänging, vous pouvez lire ce rapport de Franck Jeannot, et si vous voulez en savoir plus sur les différentes versions de l’injecteur TxHollower et que vous n’avez pas peur de l’anglais, vous pouvez jeter un coup d’œil à l’article publié par enSilo.