Equivalente de Windows Process Hollowing en Linux / Unix / MacOS

Navega tus respuestas
1

Para resumir el hueco del proceso en Windows: básicamente, se utiliza un binario PE legítimo (normalmente, ej.) para iniciar un proceso en estado suspendido, después de lo cual la memoria del proceso se reemplaza con el código y los datos de un binario malicioso / otro, y Se reanuda el proceso. En lo que respecta al entorno, se ejecuta el binario legítimo original.

Hay mucha información sobre este tema, pero todo se relaciona con el sistema operativo Windows. ¿Es posible este problema en otros sistemas operativos y cómo (por ejemplo, qué secuencia de llamadas de sistema en Linux indicaría tal comportamiento?).

¡Gracias!

    
pregunta Andy T 14.03.2017 - 16:32
fuente

1 respuesta

2

Un libro, The Art of Memory Forensics, cubre el proceso basado en Linux que se encuentra en el capítulo 25. Puede ver el módulo aquí - enlace

Su técnica analiza la función principal y compara lo que está en la memoria con lo que está en el disco. Para Windows, utilizando processhacker (o Process Explorer), puede comparar las cadenas del binario con el proceso reemplazado cargado en la memoria. Es el mismo conjunto de técnicas.

Si bien no está seguro de qué llamadas de sistema se cambiarían, puede ser diferente según el kernel, la distribución y el país de Linux. Puede usar Sysdig Falco para determinar las características de cualquier malware de Linux, incluyendo y quizás especialmente el proceso de vaciado y / o inyección de biblioteca compartida.

    
respondido por el atdre 14.03.2017 - 17:09
fuente

Lea otras preguntas en las etiquetas

Cómo filtrar direcciones con explotaciones de cadenas de formato ¿Es fácil descifrar BCRYPT?