Picus Security belyser MITRE ATT&CKs processinjektionsmetod APC

Cybersäkerhetsföretaget Picus Security har släppt en djupgående analys av en skadlig processinjektionsteknik känd som Asynchronous Procedure Call (APC). Tekniken, som definieras under MITRE ATT&CK-ramverket som T1055.004, tillåter angripare att exekvera skadlig kod inom en målprocess genom att utnyttja Windows inbyggda APC-mekanism.

Picus Security förklarar hur angripare utnyttjar APC:er genom att köa dem till en tråd inom en legitim process. När tråden når ett "alertable state" (ett tillstånd där den kan ta emot nya händelser), exekverar den den köade APC-rutinen, vilken kan innehålla skadlig kod. Detta gör det möjligt för angripare att köra skadlig kod och kringgå traditionella säkerhetsåtgärder, eftersom den skadliga aktiviteten sker inom kontexten av en godkänd process.

Analysen beskriver attackens livscykel steg för steg, från att skaffa sig en handtag till en målprocess och tråd, till att allokera minne och skriva den skadliga nyttolasten (shellcode). Slutligen beskrivs hur en APC-anrop köas för att driva exekveringen av koden genom att utnyttja trådens alertable state.

Publikationen belyser hur APC-injektion kan maskera sig som normal systemaktivitet, vilket gör den svår att upptäcka. Picus Securitys rapportering ger en ökad förståelse för denna avancerade teknik och hur den används i cyberattacker.