Исследователи компании SafeBreach
Традиционно внедрение процесса включает в себя три этапа: выделение памяти целевому процессу, запись вредоносного кода в эту память и его выполнение. SafeBreach сфокусировалась на том, чтобы создать этот процесс, используя легитимные действия, такие как выделение, запись и выполнение кода.
После тестирования каждого из вариантов Pool Party на пяти различных решениях EDR, включая Palo Alto Cortex, SentinelOne EDR, CrowdStrike Falcon, Microsoft Defender for Endpoint и Cybereason EDR, исследователи добились 100% успеха.
Отмечается, что несмотря на постоянные улучшения решений EDR, опытные хакеры все же обладают потенциалом для использования новых техник, которые могут пройти незамеченными.
Ссылка скрыта от гостей
новые методы внедрения процессов в Windows, названные Pool Party, которые позволяют запускать вредоносный код, оставаясь незамеченными для системы обнаружения и реагирования на инциденты (EDR). Эти методы работают в любом процессе без каких-либо ограничений и проходят незамеченными для ведущих решений EDR.Традиционно внедрение процесса включает в себя три этапа: выделение памяти целевому процессу, запись вредоносного кода в эту память и его выполнение. SafeBreach сфокусировалась на том, чтобы создать этот процесс, используя легитимные действия, такие как выделение, запись и выполнение кода.
После тестирования каждого из вариантов Pool Party на пяти различных решениях EDR, включая Palo Alto Cortex, SentinelOne EDR, CrowdStrike Falcon, Microsoft Defender for Endpoint и Cybereason EDR, исследователи добились 100% успеха.
Отмечается, что несмотря на постоянные улучшения решений EDR, опытные хакеры все же обладают потенциалом для использования новых техник, которые могут пройти незамеченными.