In che modo Ransomware utilizza vssadmin.exe con i privilegi di amministratore

2

Sto facendo delle ricerche su Ransomware e sui loro metodi. In molti articoli scrivono che il ransomware esegue vssadmin.exe per eliminare i copys shadow. E ho trovato le seguenti informazioni su come aggirare il problema che i privilegi di amministratore sono necessari:

"As this program (vssadmin.exe) requires Administrative privileges to run, some ransomware will inject themselves into processes that are running as an Administrator in order to avoid a UAC prompt from being displayed."

La mia domanda è: come si iniettano se stessi in quei processi? Qualsiasi collegamento o informazione su questo sarebbe fantastico.

    
posta Ulle 31.07.2018 - 17:01
fonte

1 risposta

3

Esistono molte tecniche di iniezione di processo, non esiste un modo standard utilizzato in tutto il ransomware.

Alcune di queste tecniche:

  • Iniezione di DLL classica tramite Createremotethread e Loadlibrary.
  • Processo di iniezione portatile eseguibile (Pe Injection) (A.K.A Process Replacement and Runpe)
  • Thread Execution Hijacking (A.K.A Suspend, Inject, Resume (Sir))
  • Hook Injection Via Setwindowshookex
  • Iniezione e persistenza tramite la modificazione del registro (E.G. Appinit_Dlls, Appcertdlls, Ifeo)
  • Apc Injection And Atombombing
  • Extra Memory Injection Window (Ewmi) tramite Setwindowlong
  • Iniezione usando il metodo Shim Iat Hooking e Inline Hooking (A.K.A Userland Rootkits)

Il seguente link descrive tutte le tecniche di cui sopra.

    
risposta data 31.07.2018 - 17:31
fonte

Leggi altre domande sui tag