Μια νέα τεχνική που ανακαλύφθηκε το 2026 αποκαλύπτει ότι οι εισβολείς μπορούν να χειριστούν τις δομές του πυρήνα των Windows για να αποκρύψουν διεργασίες που εκτελούνται από συστήματα ανίχνευσης, ακόμη και όταν σύγχρονα επίπεδα ασφαλείας όπως το PatchGuard προστατεύουν το σύστημα.
Οι αναλυτές Outflank εντόπισαν μια μέθοδο που εκμεταλλεύεται το χρονοδιάγραμμα των ελέγχων επικύρωσης του συστήματος για να κρύψει την κακόβουλη δραστηριότητα από κοινή θέα.
Η ανακάλυψη υπογραμμίζει ένα κρίσιμο κενό στον τρόπο με τον οποίο τα Windows διαχειρίζονται την ορατότητα της διαδικασίας κατά τον τερματισμό.
Ενώ οι διεργασίες παραμένουν λειτουργικές, λειτουργούν αόρατα για την παρακολούθηση εργαλείων όπως το Task Manager και το Process Hacker, καθιστώντας αυτήν την προσέγγιση ιδανική για τη διατήρηση της επιμονής χωρίς άμεση ανακάλυψη.
Η επίθεση λειτουργεί με το χειρισμό των εσωτερικών δομών δεδομένων που χρησιμοποιούν τα Windows για την παρακολούθηση όλων των ενεργών διεργασιών που εκτελούνται σε ένα σύστημα.
Εξωτερικοί ερευνητές διάσημος ότι η εμφάνιση του κακόβουλου λογισμικού δείχνει πώς οι εισβολείς συνεχίζουν να βρίσκουν δημιουργικούς τρόπους γύρω από ακόμη και εξελιγμένους μηχανισμούς προστασίας.
Η Microsoft σχεδίασε πολλαπλά επίπεδα άμυνας, συμπεριλαμβανομένου του PatchGuard, το οποίο εκτελεί ελέγχους ακεραιότητας στις δομές του πυρήνα, και προστασίες που υποστηρίζονται από hypervisor που εμποδίζουν την άμεση τροποποίηση των σελίδων κώδικα.
.webp.png "Οι χάκερ μπορούν να αξιοποιήσουν την προστασία ενημερωμένης έκδοσης κώδικα πυρήνα για να αποκρύψουν τη διαδικασία από τη Διαχείριση εργασιών")
Παρά αυτές τις άμυνες, η πρόσφατα τεκμηριωμένη προσέγγιση περιηγείται γύρω από αυτές τις προστασίες λειτουργώντας σε δεδομένα και όχι σε κώδικα.
Η αποτελεσματικότητα της τεχνικής εξαρτάται από τον ακριβή χρονισμό και τη βαθιά γνώση των εσωτερικών στοιχείων των Windows. Οι επιτιθέμενοι δεν χρειάζεται να απενεργοποιήσουν απευθείας τους μηχανισμούς ασφαλείας.
Αντίθετα, λειτουργούν εντός των περιορισμών που επιβάλλουν αυτές οι προστασίες, εκμεταλλευόμενοι συγκεκριμένες στιγμές στην ακολουθία τερματισμού της διαδικασίας.
Χειρισμός λίστας διεργασιών και πρόβλημα τερματισμού
Τα Windows διατηρούν όλες τις διεργασίες που εκτελούνται σε μια διπλά συνδεδεμένη λίστα που ονομάζεται ActiveProcessLinks, η οποία είναι ενσωματωμένη στη δομή EPROCESS κάθε διεργασίας.
.webp.jpeg "Οι χάκερ μπορούν να αξιοποιήσουν την προστασία ενημερωμένης έκδοσης κώδικα πυρήνα για να αποκρύψουν τη διαδικασία από τη Διαχείριση εργασιών")
Αυτή η δομή περιέχει δείκτες προς τα εμπρός και προς τα πίσω που ενώνουν μαζί κάθε ενεργή διαδικασία. Για να κρύψουν μια διαδικασία, οι εισβολείς απλώς την αποσυνδέουν από αυτήν την αλυσίδα—η διαδικασία Ένα οδηγεί απευθείας στη Διαδικασία Τρία, παρακάμπτοντας εξ ολοκλήρου τη Διεργασία Δύο.
Η κρίσιμη πρόκληση εμφανίζεται όταν η κρυφή διαδικασία τερματίζεται. Η συνάρτηση πυρήνα των Windows PspProcessDelete εκτελεί επικύρωση ακεραιότητας σε αυτές τις δομές LIST_ENTRY πριν από την εκκαθάριση.
Αυτή η επικύρωση επιβεβαιώνει τη συνοχή αμφίδρομης κατεύθυνσης: ο δείκτης προς τα πίσω της σύνδεσης προς τα εμπρός πρέπει να αναφέρεται στην αρχική καταχώρηση διαδικασίας και ο δείκτης προς τα πίσω της σύνδεσης προς τα πίσω πρέπει να κάνει το ίδιο.
Εάν εντοπιστεί καταστροφή κατά τον τερματισμό, το σύστημα ενεργοποιεί ένα KERNEL_SECURITY_CHECK_FAILURE 0x139, προκαλώντας αμέσως μπλε οθόνη.
Η λύση περιλαμβάνει την τεκμηριωμένη λειτουργία επανάκλησης PsSetCreateProcessNotifyRoutineEx της Microsoft. Αυτό το API επιτρέπει στα προγράμματα οδήγησης να λαμβάνουν ειδοποιήσεις όταν δημιουργούνται ή τερματίζονται διεργασίες.
.webp.jpeg "Οι χάκερ μπορούν να αξιοποιήσουν την προστασία ενημερωμένης έκδοσης κώδικα πυρήνα για να αποκρύψουν τη διαδικασία από τη Διαχείριση εργασιών")
Με την εγγραφή μιας τέτοιας επανάκλησης, τα κακόβουλα προγράμματα οδήγησης λαμβάνουν τη δομή EPROCESS κατά τον χρόνο τερματισμού, αλλά πριν από την εκτέλεση της επικύρωσης του PspProcessDelete.
Στη συνέχεια, το πρόγραμμα οδήγησης εκτελεί στοχευμένες επιδιορθώσεις στη δομή LIST_ENTRY, αποκαθιστώντας τη συνοχή στους δείκτες προς τα εμπρός και προς τα πίσω μόλις μικροδευτερόλεπτα πριν από την εκτέλεση των ελέγχων επικύρωσης.
Εδώ βρίσκεται η κομψή παράκαμψη: η διαδικασία ήταν πραγματικά κρυμμένη καθ’ όλη τη διάρκεια της εκτέλεσής της, αόρατη σε οποιοδήποτε εργαλείο σάρωσης. Ωστόσο, τη στιγμή του τερματισμού, προτού το PspProcessDelete εξετάσει τις δομές, οι σύνδεσμοι “αποκρύπτονται” και επισκευάζονται.
Οι έλεγχοι ακεραιότητας δεν βρίσκουν τίποτα λάθος. Η διαδικασία τελειώνει καθαρά. Η εκτέλεση κακόβουλου λογισμικού παραμένει κρυφή μέχρι το τέλος.
Αυτή η προσέγγιση λειτουργεί μέσα στις προστασίες του HVCI που επιβάλλονται από υλικό, επειδή η επίθεση στοχεύει εγγράψιμες δομές δεδομένων και όχι προστατευμένες σελίδες κώδικα.
Οι πίνακες εκτεταμένων σελίδων εμποδίζουν την τροποποίηση του ίδιου του κώδικα του πυρήνα, αλλά τα δεδομένα παραμένουν προσβάσιμα. Η τεχνική απαιτεί δικαιώματα εκτέλεσης σε επίπεδο πυρήνα και μια έγκυρη υπογραφή προγράμματος οδήγησης, η οποία αντιπροσωπεύει το κύριο πρακτικό εμπόδιο στην εκμετάλλευση.
