Техниката за инжектиране на процеса Mockingjay е представена като неуловим метод за избягване на откриването на зловреден софтуер
Появи се авангардна техника за инжектиране на процеси, наречена Mockingjay, която представлява потенциален път за участниците в заплахата да избягат от мерките за сигурност и да изпълнят повреден код на компрометирани системи. Изследователите по сигурността са идентифицирали тази техника, която заобикаля необходимостта от разпределение на пространство, настройки за разрешения или инициализация на нишка по време на инжектирането. Според техния доклад, споделен с The Hacker News, отличителната черта на Mockingjay се крие в зависимостта му от уязвима DLL и точното поставяне на код в съответния раздел.
Съдържание
Какво е инжектиране на процес?
Инжектирането на процес е технически злонамерен софтуер, който злонамерените участници използват, за да вмъкнат и изпълнят код в пространството на паметта на легитимен процес, изпълняван на компютър. Инжектираният код обикновено предоставя неоторизиран достъп или извършва вредни действия в рамките на целевия процес, като често има за цел да заобиколи мерките за сигурност и да остане незабелязан. Техниките за инжектиране на процеси използват уязвимости или слабости в операционната система или приложенията, за да получат контрол над процес и да манипулират поведението му. Стандартните методи за инжектиране на процеси включват DLL, код и изпъкване на процеси.
Техниките за инжектиране на процеси са разнообразни и обхващат различни методи, които злонамерен софтуер или зле ориентирани участници използват, за да инжектират код в легитимни процеси. Някои видни техники за инжектиране на процеси включват инжектиране на DLL, при което компрометирана DLL се зарежда в целеви процес; преносимо инжектиране на изпълним файл, което включва инжектиране на код от отделен изпълним файл; отвличане на изпълнение на нишка, където потокът на изпълнение на легитимна нишка се пренасочва към лош код; изпъкване на процеса, при което се създава легитимен процес и след това се заменя с лош код; и двоен процес, който включва манипулиране на файловата система и атрибутите на процеса за създаване на опасен процес.
Всяка техника разчита на специфични системни извиквания и Windows API за извършване на инжектирането, което позволява на защитниците да разработят ефективни стратегии за откриване и смекчаване. Като разбират основните механизми на тези методи за инжектиране, професионалистите по сигурността могат да разработят подходящи противодействия и системи за защита срещу подобни атаки.
Уникалните черти на сойка-присмехулница
Mockingjay се отличава с това, че заобикаля традиционните мерки за сигурност чрез умело използване на съществуващи преносими изпълними файлове на Windows с блок памет, защитен с разрешения за четене-запис-изпълнение (RWX). Този иновативен подход елиминира необходимостта от задействане на наблюдавани Windows API, които обикновено се наблюдават от решения за сигурност. Чрез използването на msys-2.0.dll, който предлага значителни 16 KB налично RWX пространство, Mockingjay ефективно прикрива опасен код и работи скрито. Признаването на потенциалното съществуване на други уязвими DLL файлове с подобни атрибути е от съществено значение.
Mockingjay използва два различни метода; самоинжектиране и дистанционно инжектиране на процес, за да се улесни инжектирането на код, което води до подобрена ефективност на атаката и избягване на откриване. Техниката на самоинжектиране включва директно зареждане на уязвимата DLL в адресното пространство на персонализирано приложение, което позволява изпълнението на желания код чрез секцията RWX. От друга страна, инжектирането на отдалечен процес използва секцията RWX в рамките на уязвимата DLL, за да извърши инжектиране на процес в отдалечен процес като ssh.exe. Тези стратегии позволяват на Mockingjay да манипулира скрито изпълнението на код, позволявайки на участниците в заплахата да избягват мерките за откриване.
Предизвикателство за системите за откриване и реагиране на крайна точка (EDR).
За разлика от традиционните подходи, тази новаторска стратегия елиминира необходимостта от разпределяне на памет, настройка на разрешение или създаване на нишка в целевия процес, за да започне изпълнението на инжектирания код. Изследователите подчертаха, че тази уникална характеристика представлява значително предизвикателство за системите за откриване и реакция на крайни точки (EDR), тъй като се отклонява от типичните модели, които те трябва да откриват. Тези констатации се появяват след друго скорошно разкритие на метод, използващ легитимната технология за внедряване на Visual Studio, наречен ClickOnce. Този метод позволява на участниците в заплахата да постигнат произволно изпълнение на код и да получат първоначален достъп, подчертавайки развиващия се пейзаж на сложни техники за атака.