サイバーセキュリティ プロジェクトで、チームメイトと私は次の潜在的なセキュリティ リスクに遭遇しました。
マルウェア プロセスは子を生成し、次に子を生成します。孫はアクセスを許可されていますが、親チェーンを調べてソース プロセスを見つけたいと考えています。これらのプロセスが作成されてからセキュリティ チェックが行われるまでの間に、マルウェア プロセスはその子プロセスを強制終了し、孫プロセスは親チェーンを回避して init に直接接続します。
この振る舞いを検知して、セキュリティチェックでこのような状況を拒否したいと考えています。作成されたプロセスのすべてのppidをログに記録し、ppidが作成からセキュリティチェックに変更されたすべてのプロセスを検出して拒否することを考えていました。
これは実現可能ですか?そうでない場合、プロセスの採用を検出するための提案はありますか?