Для обнаружения и идентификации потенциально вредоносных действий средства контроля безопасности используют метод, называемый анализом дерева процессов.
T1036.009 Изменение дерева процессов (Break Process Trees)
Этот анализ основывается на отношениях «родитель-ребенок» между процессами для выявления аномального поведения. В системах на базе Unix взлом дерева процессов является распространенной практикой, используемой администраторами для выполнения программного обеспечения с помощью скриптов и программ. Злоумышленники используют эту практику, выполняя серию вызовов Native API в системах Linux, чтобы изменить дерево процессов вредоносной программы. Изменяя идентификатор родительского процесса, злоумышленники нарушают связь между родителями и детьми и затрудняют для средств безопасности ассоциацию своего поведения с предыдущей активностью в дереве процессов.
Например, злоумышленники могут выполнить полезную нагрузку без каких-либо аргументов, дважды вызвать API-вызов fork(), а затем завершить родительский процесс. Эта последовательность действий создает дочерний процесс без родительского процесса, эффективно отсоединяя выполнение полезной нагрузки злоумышленника от предыдущего дерева процессов. Впоследствии дочерний процесс подхватывается системным процессом init (PID 1), что еще больше скрывает вредоносную активность от механизмов обнаружения.
Троян XorDdos использует технику T1036.009 Break Process Trees для обеспечения устойчивости, не оставляя следов. При запуске системы вредоносная программа проверяет, запущена ли она из директорий «/bin», «/usr/bin» или «/tmp». Если он работает не из этих каталогов, XorDdos копирует себя в каталог «/lib/libudev.so». После модификации копий для обхода хэш-детектирования XorDdos выполняет скопированные и модифицированные вредоносные программы, выполняя двойную вилку(), а затем удаляет себя. Эта серия действий помогает XorDdos оставаться стойким и незаметным.
Злоумышленники также могут использовать системный вызов «демон», чтобы отделиться от текущего родительского процесса и работать в фоновом режиме. Вызов этого системного вызова позволяет отделить выполнение вредоносной полезной нагрузки от ее родительского процесса, что позволяет ей работать автономно, не оставляя следов своего происхождения.