¿Cómo utiliza Ransomware vssadmin.exe con privilegios de administrador?

2

Estoy haciendo algunas investigaciones sobre Ransomware y sus métodos. En muchos artículos escriben que el ransomware realiza vssadmin.exe para eliminar las copias ocultas. Y encontré la siguiente información sobre cómo evitan el problema de que se necesitan privilegios de administrador:

  

"Dado que este programa (vssadmin.exe) requiere la ejecución de privilegios administrativos, algunos ransomware se insertarán en procesos que se ejecutan como administrador para evitar que se muestre un mensaje de UAC".

Mi pregunta es, ¿cómo se inyectan en esos procesos? Cualquier enlace o información sobre esto sería genial.

    
pregunta Ulle 31.07.2018 - 17:01
fuente

1 respuesta

3

Hay muchas técnicas de inyección de procesos, no se utiliza ninguna forma estándar en todos los ransomware.

Algunas de estas técnicas:

  • Inyección de dll clásica a través de Creater, hilo y biblioteca de carga.
  • Hueco de proceso de inyección ejecutable portátil (inyección Pe) (A.K.A Proceso de reemplazo y Runpe)
  • Secuestro de ejecución de subprocesos (A.K.A Suspender, inyectar y reanudar (Señor))
  • Inyección de ganchos a través de Setwindowshookex
  • Inyección y persistencia a través de la modificación del registro (E.G. Appinit_Dlls, Appcertdlls, Ifeo)
  • Apc Injection And Atombombing
  • Inyección de memoria de ventana adicional (Ewmi) a través de Setwindowlong
  • Inyección usando cuñas enganche y enganche en línea (A.K.A Rootkits de Userland)

El siguiente link describe todas las técnicas anteriores.

    
respondido por el Soufiane Tahiri 31.07.2018 - 17:31
fuente

Lea otras preguntas en las etiquetas