进程空心化注入(Process Hollowing Injection)是一种通过劫持Office组件子进程实现无文件驻留的高级技术。攻击者利用Office应用程序(如WINWORD.EXE)启动子进程时的内存分配机制,在进程初始化阶段替换原始代码段,注入恶意负载并维持合法进程表象。该技术通过完全内存化操作规避文件系统监控,并利用Office进程的信任状绕过应用程序白名单限制。
匿迹实现依赖Windows进程管理机制的深度利用。攻击者首先创建挂起状态的Office组件子进程(如MSACCESS.EXE /safe),通过API钩取技术劫持进程初始化例程。在内存空间释放原始模块后,将加密的恶意PE文件映射到进程地址空间,并重建导入表等数据结构以匹配系统环境。关键创新点在于利用Office进程加载合法COM组件的特性,将恶意代码封装为带有效数字签名的伪组件,通过CLSID解析机制触发执行。整个攻击过程不产生磁盘文件写入,恶意代码驻留在系统保留内存区域,且进程树显示为Office软件的标准调用链,实现从存储介质到运行环境的全维度隐匿。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon