Uma nova coleção de oito técnicas de injeção de processo, coletivamente chamadas “PoolParty”, podem ser exploradas para executar código em sistemas Windows, evitando sistemas de detecção e resposta a endpoints (EDR). Alon Leviev, pesquisador de cibersegurança, destacou que esses métodos são capazes de funcionar em todos os processos sem limitações, tornando-os mais flexíveis do que as técnicas existentes de injeção de processo.

A injeção de processo é uma técnica de evasão usada para executar código arbitrário em um processo alvo. Existem várias técnicas de injeção de processo, como injeção de biblioteca de link dinâmico (DLL), injeção de executável portátil, sequestro de execução de thread, esvaziamento de processo e doppelgänging de processo.

PoolParty é assim chamado porque se baseia em um componente chamado thread pool do modo de usuário do Windows, aproveitando-o para inserir qualquer tipo de item de trabalho em um processo alvo no sistema.

Funciona direcionando “fábricas de trabalhadores” que se referem a objetos do Windows responsáveis por gerenciar threads de trabalhadores do thread pool e substituindo a rotina de início por shellcode malicioso para execução subsequente pelos threads de trabalhadores. PoolParty foi encontrado para alcançar uma taxa de sucesso de 100% contra soluções populares de EDR, incluindo aquelas da CrowdStrike, Cybereason, Microsoft, Palo Alto Networks e SentinelOne.

Leviev concluiu que, embora os EDRs modernos tenham evoluído para detectar técnicas conhecidas de injeção de processo, a pesquisa provou que ainda é possível desenvolver técnicas novas e indetectáveis que têm o potencial de causar um impacto devastador. “Atores sofisticados de ameaças continuarão a explorar novos e inovadores métodos para injeção de processo, e os fornecedores de ferramentas de segurança e profissionais devem ser proativos em sua defesa contra eles.”