Инъекция кода в процессы по методу Pool Party обманет любую EDR-систему

Татьяна Никитина 08 Декабря 2023 - 15:44

Системы обнаружения целевых атак на конечных точках сети (EDR)

...

Инъекция кода в процессы по методу Pool Party обманет любую EDR-систему

Эксперты SafeBreach разработали метод внедрения кода в память процессов, использующий пулы потоков Windows для сокрытия его исполнения. Тестирование показало, что атаку Pool Party не способны выявить даже лидеры рынка EDR-решений.

Инъекция кода в процессы позволяет злоумышленникам обойти антивирусы: такие заражения не оставляют в системе следов в виде файлов, которые можно было бы проанализировать. В последние годы многие вендоры ОС и EDR усилили защиту от подобных атак за счет блокировки известных техник либо жесткого ограничения последствий.

Чтобы понять, каким образом бестелесный зловред сможет обойти EDR, исследователям пришлось изучить современный подход к детектированию таких угроз ИБ-продуктами этого класса. Как оказалось, они производят оценку по примитиву выполнения — лишь одному элементарному действию из трех, необходимых для инъекции в процесс (еще выделение блока памяти и запись туда кода).

Это открытие подсказало экспертам, как скрыть бесфайлового зловреда от EDR: создать примитив выполнения, основанный лишь на allocate и write, а в качестве триггера шелл-кода использовать легитимное действие — например, запись в безобидный файл.

Прекрасным кандидатом для такого трюка оказался пул потоков режима пользователя в Windows, а точнее, четыре компонента: фабрика рабочих ролей, управляющая рабочими потоками, и три очереди.

По результатам исследования были созданы восемь разных техник инъекции кода; одна использует подпрограмму запуска фабрики ролей, другая — очередь задач, еще пять — очередь завершения ввода-вывода, а восьмая — очередь таймера. Поскольку пул потоков совместно используется процессами Windows, метод Pool Party работает на любом из них.

Для тестирования были выбраны пять EDR-решений:

Palo Alto Cortex,
SentinelOne EDR,
CrowdStrike Falcon,
Microsoft Defender for Endpoint,
Cybereason EDR.

Во всех случаях эффективность Pool Party (всех восьми вариантов) составила 100%, то есть ни один защитный продукт не смог обнаружить или предотвратить инъекцию. Вендоры уже поставлены в известность.

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Яков Шпунт 10 Марта 2026 - 13:56

Сбои программ Сбои оборудования Общее

В Москве продолжаются проблемы с мобильной связью в отдельных районах

В выходные проблемы с мобильной связью и интернетом в Москве, начавшиеся 5 марта, сохранялись. При этом зона ограничений сместилась в центральную часть города. Кроме того, сбои затронули сеть Wi-Fi в городском транспорте.

Ранее, 5 марта, ограничения были введены в отдельных районах Южного округа столицы. Тогда связь отсутствовала полностью: не работал не только мобильный интернет, как это обычно бывает, но и голосовая связь. Операторы объяснили происходящее «мерами безопасности».

На следующий день, как сообщил портал «Код Дурова», ограничения сместились в центральную часть Москвы. Они вводятся точечно и затрагивают отдельные участки в пределах нескольких улиц или кварталов, не распространяясь на весь район.

Ограничения также повлияли на работу сети Wi-Fi в общественном транспорте Москвы на некоторых маршрутах и линиях метро. Такая ситуация сохранялась все длинные выходные и продолжается до сих пор.

По данным портала, операторы начали уведомлять абонентов только вечером 6 марта. При этом характер ограничений менялся. 7 марта и позже они затрагивали уже только мобильный интернет, тогда как возможность совершать голосовые звонки и отправлять СМС-сообщения вернулась. При этом мобильный интернет по-прежнему оставался недоступным, а также не работали многие сервисы из «белого списка».

В официальном комментарии пресс-служба Роскомнадзора переадресовала запрос в Минцифры.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!