Process hollowing is een beveiligingsexploit waarbij een aanvaller code in een uitvoerbaar bestand verwijdert en vervangt door kwaadaardige code. De process hollowing-aanval wordt door hackers gebruikt om een anders legitiem proces kwaadaardige code te laten uitvoeren. Deze aanval kan worden uitgevoerd terwijl potentiële verdedigingsmechanismen, zoals detectie-analysesoftware, worden omzeild.
Process hollowing exploits worden vaak gestart via kwaadaardige koppelingen in phishing-e-mails. Een Windows-gebruiker kan bijvoorbeeld een van de geïnfecteerde koppelingen selecteren, waardoor zijn computer een PowerShell-opdracht uitvoert. Dat commando kan vervolgens de malware van de aanvaller downloaden en installeren.
Gelijk aan andere soorten code-injectieaanvallen kan process hollowing moeilijk te detecteren zijn.
Hoe het werkt
De gebruikte malware stelt de aanvaller doorgaans in staat iets te doen met een softwareprogramma dat echt lijkt, zoals "een pauze toevoegen tijdens het opstartproces". Tijdens de pauze kan de aanvaller legitieme code in het uitvoerbare bestand van het programma verwijderen en vervangen door kwaadaardige code. Dit wordt hollowing genoemd. Wanneer het startproces wordt hervat, voert het de code van de aanvaller uit voordat het normaal verdergaat. In wezen stelt process hollowing de aanvaller in staat om een legitiem uitvoerbaar bestand te veranderen in een kwaadaardige container die betrouwbaar lijkt. Door deze strategie is het zeer waarschijnlijk dat de antimalwaresoftware van het doelwit niet kan detecteren dat er een ruil heeft plaatsgevonden.
Hoe om te gaan met process hollowing
Het is moeilijk om process hollowing-aanvallen te voorkomen omdat ze gebruikmaken van vereiste systeemprocessen. Het is ook moeilijk om process hollowing-aanvallen te detecteren, omdat de kwaadaardige code sporen van zichzelf van de schijf kan verwijderen om identificatie te voorkomen. Daarom bevelen veel beveiligingsleveranciers het gebruik van post-breach strategieën aan om met process hollowing om te gaan. Hierdoor is een nieuw marktsegment voor dit type geavanceerde aanhoudende bedreiging (APT) aan het ontstaan. Onderzoeksbureau Gartner noemt dit nieuwe marktsegment "endpoint detection and response (EDR)". EDR richt zich op het maken van tools die verdachte acties en andere problemen op hosts en endpoints detecteren en onderzoeken.