Process hollowing adalah eksploitasi keamanan di mana penyerang menghapus kode dalam file eksekusi dan menggantinya dengan kode berbahaya. Serangan process hollowing digunakan oleh hacker untuk membuat proses yang tampaknya sah menjalankan kode jahat. Serangan ini bisa dilakukan sambil menghindari deteksi oleh software keamanan.
Eksploitasi process hollowing sering dimulai melalui tautan berbahaya dalam email phishing. Misalnya, pengguna Windows bisa saja mengklik salah satu tautan terinfeksi, yang kemudian mengeksekusi perintah PowerShell. Perintah ini bisa mengunduh dan menginstal malware milik penyerang.
Seperti jenis serangan injeksi kode lainnya, process hollowing bisa sulit dideteksi.
Bagaimana cara kerja process hollowing?
Malware yang digunakan biasanya memungkinkan penyerang untuk membuat perubahan kecil yang tampak normal dalam suatu program, seperti “menambahkan jeda saat proses peluncuran.” Selama jeda ini, penyerang bisa menghapus kode asli dalam file eksekusi program dan menggantinya dengan kode berbahaya. Proses ini disebut hollowing. Ketika peluncuran program dilanjutkan, kode yang dieksekusi sebenarnya adalah kode penyerang sebelum akhirnya menjalankan program seperti biasa.
Pada dasarnya, process hollowing memungkinkan penyerang mengubah file eksekusi yang sah menjadi container berbahaya yang tetap terlihat terpercaya. Karena itu, software antimalware di perangkat korban mungkin tidak akan menyadari adanya pergantian kode.
Cara mengatasi process hollowing
Mencegah serangan process hollowing cukup sulit karena teknik ini mengeksploitasi proses sistem yang memang diperlukan. Selain itu, mendeteksi serangan ini juga sulit karena kode berbahaya bisa menghapus jejaknya sendiri dari disk untuk menghindari identifikasi. Akibatnya, banyak vendor keamanan merekomendasikan strategi pasca-serangan untuk menangani process hollowing.
Karena tantangan ini, muncul segmen pasar baru untuk menangani ancaman tingkat lanjut (APT). Firma riset Gartner menyebut segmen baru ini sebagai “endpoint detection and response (EDR).” EDR berfokus pada pembuatan alat yang bisa mendeteksi dan menyelidiki aktivitas mencurigakan serta berbagai masalah keamanan pada perangkat endpoint.