Showing posts with label Cuckoo. Show all posts
Showing posts with label Cuckoo. Show all posts

Process Hollowing Meets Cuckoo Sandbox

Wednesday, February 4, 2015 Posted by Corey Harrell 2 comments
Growing up I loved to watch horror movies. In hindsight, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y scared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crap out of me probably because I was too young to watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. One such movie was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1986 movie Night of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Creeps. Alien slugs enter through peoples' mouths and eventually take over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir bodies. A classic body snatchers style movie that had me worried for few days when talking to close to people. Process hollowing (aka process replacement) is a technique malware uses to overwrite a running process with a malicious code. To me it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical equivalent of those alien body snatchers. This post explores process hollowing techniques using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cuckoo Sandbox.

Process Hollowing (aka Process Replacement)


In my post Prefetch File Meet Process Hollowing I walked through what process hollowing was but for completeness I’ll copied what I wrote below:

Malware uses various techniques to covertly execute code on systems. One such technique is process hollowing, which is also known as process replacement.

The book Practical Malware Analysis states cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following in regards to this technique:

"Process replacement is used when a malware author wants to disguise malware as a legitimate process, without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of crashing a process through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of process injection.

Key to process replacement is creating a process in a suspended state. This means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process will be loaded into memory, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary thread of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process is suspended. The program will not do anything until an external program resumes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary thread, causing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program to start running"

In addition, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book The Art of Memory Forensics states cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"A malicious process starts a new instance of a legitimate process (such as lsass.exe) in suspended mode. Before resuming it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable section( s) are freed and reallocated with malicious code."

In essence, process hollowing is when a process is started in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended state, code is injected into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process to overwrite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original data, and when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process is resumed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 injected code is executed. Everything about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process initial appears to reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original process. Similar to how everything about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person initially appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original person. Upon closer inspection it reveals that everything is not what it seems. The process behaves differently (such as network communications) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original code. This is very similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person behaving differently (such as trying to eat you) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biological material inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original biological material.

A Common Process Hollowing Technique


Through observation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 characters in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Night of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Creeps figured out how people’s bodies were snatched. Slugs went from one person’s mouth to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r person’s mouth. After observing this method cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 characters put tape over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mouths and were able to fight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zombies without becoming one cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. By knowing what technique was used to snatch a body enabled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 characters to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. The same can be said about process hollowing and knowing how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique looks enables you to spot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zombified processes. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more publicize techniques was described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Practical Malware Analysis book (lab 12-2 solution on page 590) as well as Trustwave SpiderLabs’s article Analyzing Malware Hollow Processes. The sequence of Windows functions, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir descriptions, and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y appear during dynamic analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Profoma Invoice.exe sample (md5 ab30c5c81a9b3509d77d83a5d18091de) with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cuckoo sandbox is as follows:

        - CreateProcessA: creates a new process and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process creation flag 0x00000004 is used to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended state
        - GetThreadContext: retrieves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specified thread for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process
        - ReadProcessMemory: reads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image base of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process
        - GetProcAddress: according to Practical Malware Analysis this function “manually resolves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 import UnMapViewofSection using GetProcAddress, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ImageBaseAddress is a parameter of UnMapViewofSection”. This removes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process from memory.
        - VirtualAllocEx: allocates memory within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process’s address space
        - WriteProcessMemory: writes data of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PE file into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory just allocated within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process
        - SetThreadContext: according to Practical Malware Analysis this function sets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EAX register to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entry point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executable just written into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process’s memory space. This means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process is pointing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 injected code so it will execute when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process is resumed
        - ResumeThread: resumes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 injected code

Cuckoo Sandbox Showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Common Process Hollowing Technique


Cuckoo Sandbox is an open source automated malware analysis system. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own words "it simply means that you can throw any suspicious file at it and in a matter of seconds Cuckoo will provide you back some detailed results outlining what such file did when executed inside an isolated environment." Malwr is a free online malware analysis service that leverages cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cuckoo Sandbox. The Behavioral Analysis section outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function calls made during execution. The pictures below show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Profoma Invoice.exe sample’s (md5 ab30c5c81a9b3509d77d83a5d18091de) function calls that perform process hollowing.

The image below shows Profoma Invoice.exe creating a process in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended state. The suspended process’ handle is 0x00000088 and thread handle is 0x0000008c.


The next image shows Profoma Invoice.exe retrieving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process since it references cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread handle 0x0000008c.


The image below shows Profoma Invoice.exe reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image base of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process since it references cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process handle 0x00000088.


The image below shows Profoma Invoice.exe getting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 addresses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UnMapViewofSection and VirtualAllocEx function calls.


The images below show Profoma Invoice.exe writing a PE file into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address space of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process since it references cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process handle 0x00000088. It takes multiple WriteProcessMemory function calls to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire PE file.


The image below shows Profoma Invoice.exe setting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread context for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process since it references cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread handle 0x0000008c.


The image below shows Profoma Invoice.exe resuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended thread to execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 injected code.


Cuckoo Sandbox Detecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Common Process Hollowing Technique


Cuckoo Sandbox detects malware functionality using signatures. The image below shows Malwr detecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common process hollowing technique used by Profoma Invoice.exe (md5 ab30c5c81a9b3509d77d83a5d18091de).


The signature detecting process hollowing reports it as “executed a process and injected code into it, probably while unpacking.” The signature detecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique is named injection_runpe.py and is available in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Community Signatures. The signature is open allowing anyone to read it to see how it detects this behavior. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below shows a portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature that detects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sequence of function calls outlined earlier to perform process hollowing.


A Different Process Hollowing Technique


The process hollowing technique outlined above is well publicized and is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique I normally expected to see. It was as if I had tape on my mouth waiting for a zombified friend to come strolling down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 street. There are more than one ways to perform an action similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re being more than one way to snatch a body. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1998 movie The Faculty an unknown creature snatched bodies by entering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 body through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ear. Now imagine what would had happened to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 characters from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Night of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Creeps movie encountering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se body snatchers. The zombified bodies are harder to spot since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don’t look like zombies. Trying to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves with tape on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mouths and baseball bats in hand would be short lived. The tape offers no protection since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creatures enter through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ear. It’s a different technique with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same result. Process hollowing is similar with different techniques ending with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same result.

I was a bit surprised back in December when I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 behavior in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image below after I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample Kroger_OrderID.exe (md5 1de7834ba959e734ad701dc18ef0edfc) through a sandbox.


The behavior clearly shows that Kroger_OrderID.exe is going to perform process hollowing since it started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 svchost.exe process in a suspended state (creation flag 0x00000004.) However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function calls afterwards are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical well publicized ones; this was a different technique. After a bit of searching I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Lexsi article Overview of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Kronos banking malware rootkit, which breaks down how this technique works. (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article also shows how to use Volatility to analyze this as well.) I summarized below cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows function sequence and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir descriptions as outlined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

        - CreateProcessA: creates a new process and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process creation flag 0x00000004 is used to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended state
        - ReadProcessMemory: reads image base of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process
        - NtCreateSection: creates two read/write/execute sections
        - ZwMapViewOfSection: maps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 read/write/execute sections into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware’s address space
        - ZwMapViewOfSection: maps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second section into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process’s address space (this section is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore shared between both processes).
        - ReadProcessMemory: reads image base of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process’s image into section 1
        - ReadProcessMemory: reads image base of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware’s image into section 2
        - NtMapViewOfSection: overwrites cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process's entry point code by mapping section 1 to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new process base address
        - ResumeThread: resumes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 injected code

Cuckoo Sandbox Showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Different Process Hollowing Technique


The Behavioral Analysis section outlines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 function calls made during execution. The pictures below show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample Kroger_OrderID.exe (md5 1de7834ba959e734ad701dc18ef0edfc) function calls performing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different process hollowing technique.

The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first three function calls. The sample Kroger_OrderID.exe creates a suspended process with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread handle 0x00000608 and process handle 0x00000604. Next cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ReadProcessMemory function reads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image base of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reference to process handle 0x00000604. The NtCreateSection function cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n creates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second read/write/execute section with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section handle 0x000005f8.


The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next three function calls. The ZwMapViewOfSection function maps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 read/write/execute sections into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware’s address space due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section handle 0x000005f8 being referenced. The next ZwMapViewOfSection maps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second section into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process’s address space due to both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section handle 0x000005f8 and process handle 0x00000604 both being referenced. Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ReadProcessMemory function reads malware’s image into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section. Not shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ReadProcessMemory function referencing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process handle 0x00000604.


The image below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining four functions. The NtCreateSection function cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n creates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first read/write/execute section with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section handle 0x000005f4. The ZwMapViewOfSection functions maps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 read/write/execute sections between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and suspended process due to section handle 0x000005f4 and process handle 0x00000604 both being referenced. This mapping overwrites cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entry point code in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process. Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ResumeThread function resumes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspended process executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 injected code.


Cuckoo Sandbox Detecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Different Process Hollowing Technique



**** Updated on 02/04/15 *****

This section of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog has been edited since it was published earlier today. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original blog post I highlighted how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 injection_run.py signature did not detect this injection technique and I shared a signature I put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to detect it.


Brad Spengler sent me an email about what I was seeing. He mentioned that a change did not make it into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 updated injection_run.py signature. Specifically, he mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plugin is looking for NtMapViewOfSection which he uses in his Cuckoo Sandbox instead of looking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older ZwMapViewOfSection. I modified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 injection_run.py signature by renaming NtMapViewOfSection to ZwMapViewOfSection (on lines 45 and 51) and afterwards it did detect this technique. As a result, I updated this section of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog to reflect this since this post’s purpose was to explore different injection techniques and how Cuckoo can help explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

**** Updated on 02/04/15 *****


Cuckoo Sandbox is able to detect this different process hollowing technique (see update about change made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 injection_runpe.py signature.) Executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample Kroger_OrderID.exe (md5 1de7834ba959e734ad701dc18ef0edfc) in Cuckoo results in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following behavior detection.

 

Wrapping Things Up


We don’t need to sit at our computers wearing headphones and tape on our mouths to hunt down zombified processes within our environments. Process hollowing is an interesting technique and it constantly reminds me about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various body snatcher horror movies I’ve seen. Leveraging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cuckoo Sandbox makes exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various process hollowing techniques even more interesting since it allows for following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sequence of Windows function calls.

Happy hunting and if you come across any zombies in your travels don’t take any chances and just follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie Zombieland. Rule 2 Double Tap: when in doubt, don't get stingy with your bullets.