تم الكشف عن تقنية حقن عملية Mockingjay كطريقة مراوغة لتفادي اكتشاف البرامج الضارة

ظهرت تقنية حقن عملية متطورة تسمى Mockingjay ، مما يوفر وسيلة محتملة للجهات الفاعلة في التهديد لتفادي الإجراءات الأمنية وتنفيذ كود تالف على الأنظمة المخترقة. حدد الباحثون الأمنيون هذه التقنية ، التي تلغي الحاجة إلى تخصيص المساحة ، أو إعدادات الأذونات ، أو تهيئة الخيط أثناء الحقن. وفقًا لتقريرهم الذي تمت مشاركته مع The Hacker News ، يكمن تميز Mockingjay في اعتماده على DLL الضعيف والموضع الدقيق للكود داخل القسم المناسب.

ما هي عملية الحقن؟

حقن العملية عبارة عن برنامج ضار تقني يستخدمه الفاعلون ذوو التفكير الشرير لإدخال التعليمات البرمجية وتنفيذها في مساحة الذاكرة لعملية شرعية تعمل على جهاز كمبيوتر. عادةً ما يمنح الكود المُحقن وصولاً غير مصرح به أو يقوم بإجراءات ضارة في العملية المستهدفة ، وغالبًا ما تهدف إلى تجاوز الإجراءات الأمنية والبقاء غير مكتشفة. تستغل تقنيات حقن العمليات نقاط الضعف أو نقاط الضعف في نظام التشغيل أو التطبيقات للسيطرة على عملية ما والتلاعب بسلوكها. تتضمن طرق حقن العملية القياسية DLL ، والتعليمات البرمجية ، وتفريغ العمليات.

تتنوع تقنيات حقن العمليات وتشمل طرقًا مختلفة تستخدمها البرامج الضارة أو الجهات الفاعلة غير الموجهة لإدخال التعليمات البرمجية في العمليات المشروعة. تتضمن بعض تقنيات حقن العمليات البارزة حقن DLL ، حيث يتم تحميل DLL المخترق في عملية مستهدفة ؛ الحقن القابل للتنفيذ المحمول ، والذي يتضمن حقن التعليمات البرمجية من ملف منفصل قابل للتنفيذ ؛ اختطاف تنفيذ مؤشر الترابط ، حيث يتم إعادة توجيه تدفق تنفيذ مؤشر ترابط شرعي إلى رمز تالف ؛ عملية التفريغ ، حيث يتم إنشاء عملية شرعية ثم استبدالها بتعليمات برمجية سيئة ؛ وعملية doppelgänging ، والتي تتضمن معالجة نظام الملفات وسمات العملية لإنشاء عملية غير آمنة.

تعتمد كل تقنية على استدعاءات نظام محددة وواجهات برمجة تطبيقات Windows لإجراء الحقن ، مما يمكّن المدافعين من تطوير استراتيجيات فعالة للكشف والتخفيف. من خلال فهم الآليات الأساسية لطرق الحقن هذه ، يمكن لمتخصصي الأمن ابتكار إجراءات مضادة مناسبة وأنظمة حماية ضد مثل هذه الهجمات.

السمات الفريدة لـ Mockingjay

يميز Mockingjay نفسه عن طريق التحايل على إجراءات الأمان التقليدية من خلال استخدام ملفات Windows المحمولة القابلة للتنفيذ بذكاء مع كتلة ذاكرة محمية بأذونات القراءة والكتابة والتنفيذ (RWX). يلغي هذا النهج المبتكر الحاجة إلى تشغيل واجهات برمجة تطبيقات Windows المراقبة التي تتم مراقبتها عادةً بواسطة حلول الأمان. من خلال الاستفادة من msys-2.0.dll ، والذي يوفر 16 كيلو بايت من مساحة RWX المتاحة ، يخفي Mockingjay بشكل فعال التعليمات البرمجية غير الآمنة ويعمل سراً. من الضروري الاعتراف بالوجود المحتمل لـ DLLs الأخرى المعرضة للضرر والتي لها سمات مشابهة.

تستخدم Mockingjay طريقتين متميزتين ؛ الحقن الذاتي ، وحقن العمليات عن بُعد ، لتسهيل إدخال الشفرة ، مما يؤدي إلى تعزيز فعالية الهجوم وتجنب الاكتشاف. تتضمن تقنية الحقن الذاتي تحميل DLL المعرض للخطر مباشرة في مساحة عنوان تطبيق مخصص ، مما يتيح تنفيذ الكود المطلوب عبر قسم RWX. من ناحية أخرى ، يستخدم حقن العملية عن بُعد قسم RWX داخل DLL الضعيف لإجراء عملية الحقن في عملية بعيدة مثل ssh.exe. تمكّن هذه الاستراتيجيات Mockingjay من التلاعب بتنفيذ التعليمات البرمجية خلسة ، مما يمكّن الجهات الفاعلة في التهديد من التهرب من إجراءات الكشف.

تحدي لأنظمة اكتشاف نقطة النهاية والاستجابة (EDR)

على عكس الأساليب التقليدية ، تلغي هذه الإستراتيجية المبتكرة الحاجة إلى تخصيص الذاكرة أو إعداد الأذونات أو إنشاء الخيط ضمن العملية المستهدفة لبدء تنفيذ التعليمات البرمجية المحقونة. أبرز الباحثون أن هذه الميزة الفريدة تشكل تحديًا كبيرًا لأنظمة اكتشاف نقطة النهاية والاستجابة (EDR) ، لأنها تنحرف عن الأنماط النموذجية التي يجب أن تكتشفها. تظهر هذه النتائج بعد اكتشاف آخر حديث لطريقة تستفيد من تقنية نشر Visual Studio المشروعة تسمى ClickOnce. تمكن هذه الطريقة الجهات الفاعلة في التهديد من تنفيذ التعليمات البرمجية التعسفية والحصول على وصول أولي ، مع التركيز على المشهد المتطور لتقنيات الهجوم المعقدة.