Early Cascade injection
La inyección ‘Early Cascade’ se trata de una técnica de inyección de procesos moderna y sigilosa descubierta por Outflank que implica inyectar y ejecutar código en las primeras etapas de la creación de procesos antes de cargar los EDR para sus medidas de detección del modo de usuario. La técnica Early Cascade obliga a habilitar el motor Shim, lo que permite secuestrar un callback del motor Shim.
- Creación de un proceso en modo suspendido.
- Localización dinámica de las direcciones para habilitar la flag y callback.
- Asignación remota de memoria para nuestro stub y shellcode.
- Inyección del stub y shellcode en el proceso de destino.
- Fuerza la habilitación del engine de shim.
- Secuestro de una callback del engine de shim.
- Activación de la callback reanudando el hilo del proceso.
En este punto, se ejecuta el stub y hace lo siguiente:
- Interrumpe la inicialización de las medidas de detección.
- Deshabilita el motor de shim para evitar un bloqueo.
- Poner en cola una llamada a procedimiento asincrónico (APC) que ejecuta el shellcode más tarde.ç
Referencia:
Powered by WPeMatico
