Picus Security analysiert MITRE ATT&CK-Technik: Asynchronous Procedure Call (APC)

Das Cybersicherheitsunternehmen Picus Security hat eine detaillierte Analyse der MITRE ATT&CK T1055.004-Technik, bekannt als Asynchronous Procedure Call (APC), veröffentlicht. Diese Methode ermöglicht es Angreifern, schädlichen Code innerhalb eines Zielprozesses auszuführen, indem der eingebaute APC-Mechanismus von Windows ausgenutzt wird.

Picus Security erläutert, wie Angreifer APCs nutzen, indem sie diese in die Warteschlange eines Threads innerhalb eines legitimen Prozesses einreihen. Wenn der Thread einen "alertable state" (einen Zustand, in dem er neue Ereignisse empfangen kann) erreicht, führt er die eingereihte APC-Routine aus, die schädlichen Code enthalten kann. Dies ermöglicht es Angreifern, Malware auszuführen und traditionelle Sicherheitsmaßnahmen zu umgehen, da die schädliche Aktivität im Kontext eines genehmigten Prozesses stattfindet.

Die Analyse beschreibt den Lebenszyklus des Angriffs Schritt für Schritt, beginnend mit dem Erwerb von Handles für einen Zielprozess und Thread bis hin zur Speicherallokation und dem Schreiben der schädlichen Nutzlast (Shellcode). Abschließend wird beschrieben, wie ein APC-Aufruf in die Warteschlange gestellt wird, um die Ausführung des Codes durch Ausnutzung des "alertable state" des Threads zu erzwingen.

Die Veröffentlichung hebt die Fähigkeit von APC-Injektionen hervor, legitime Systemoperationen zu imitieren, was ihre Erkennung erschwert. Der Bericht von Picus Security bietet ein tieferes Verständnis dieser fortschrittlichen Technik und ihrer Ausnutzung bei Cyberangriffen.