La tècnica d'injecció del procés de Mockingjay presentada com un mètode elusiu per al programari maliciós per evitar la detecció
Ha sorgit una tècnica d'injecció de processos d'avantguarda anomenada Mockingjay, que presenta una via potencial perquè els actors d'amenaces eludissin les mesures de seguretat i executin un codi corrupte en sistemes compromesos. Els investigadors de seguretat han identificat aquesta tècnica, que evita la necessitat d'assignació d'espai, configuració de permisos o inicialització del fil durant la injecció. Segons el seu informe compartit amb The Hacker News, la particularitat de Mockingjay rau en la seva dependència d'una DLL vulnerable i la col·locació precisa del codi dins de la secció adequada.
Taula de continguts
Què és una injecció de procés?
La injecció de processos és un programari maliciós tècnic, que els actors malintencionats utilitzen per inserir i executar codi a l'espai de memòria d'un procés legítim que s'executa en un ordinador. El codi injectat normalment concedeix accés no autoritzat o realitza accions perjudicials dins del procés objectiu, sovint amb l'objectiu d'evitar les mesures de seguretat i no ser detectat. Les tècniques d'injecció de processos exploten les vulnerabilitats o les debilitats del sistema operatiu o de les aplicacions per aconseguir el control d'un procés i manipular-ne el comportament. Els mètodes estàndard d'injecció de processos inclouen DLL, codi i buidat de processos.
Les tècniques d'injecció de processos són diverses i abasten diversos mètodes que utilitzen programari maliciós o actors mal orientats per injectar codi en processos legítims. Algunes tècniques d'injecció de processos destacades inclouen la injecció de DLL, on una DLL compromesa es carrega en un procés objectiu; injecció executable portàtil, que implica injectar codi des d'un fitxer executable separat; segrest d'execució de fil, on el flux d'execució d'un fil legítim es redirigeix a un codi dolent; process hollowing, on es crea un procés legítim i després se substitueix per codi dolent; i el procés de doppelgänging, que implica manipular el sistema de fitxers i els atributs del procés per crear un procés insegur.
Cada tècnica es basa en trucades de sistema específiques i API de Windows per dur a terme la injecció, cosa que permet als defensors desenvolupar estratègies efectives de detecció i mitigació. En entendre els mecanismes subjacents d'aquests mètodes d'injecció, els professionals de la seguretat poden idear contramesures adequades i sistemes de protecció contra aquests atacs.
Els trets únics de Mockingjay
Mockingjay es diferencia eludint les mesures de seguretat tradicionals utilitzant de manera intel·ligent els fitxers executables portàtils de Windows existents amb un bloc de memòria protegit amb permisos de lectura-escriptura-execució (RWX). Aquest enfocament innovador elimina la necessitat d'activar les API de Windows monitoritzades normalment supervisades per solucions de seguretat. Mitjançant l'aprofitament de msys-2.0.dll, que ofereix una quantitat substancial de 16 KB d'espai RWX disponible, Mockingjay amaga eficaçment el codi no segur i funciona de manera encoberta. És essencial reconèixer l'existència potencial d'altres DLL vulnerables amb atributs similars.
Mockingjay utilitza dos mètodes diferents; autoinjecció i injecció de processos remots, per facilitar la injecció de codi, el que resulta en una millora de l'eficàcia de l'atac i l'evasió de la detecció. La tècnica d'autoinjecció consisteix a carregar directament la DLL vulnerable a l'espai d'adreces d'una aplicació personalitzada, permetent l'execució del codi desitjat mitjançant la secció RWX. D'altra banda, la injecció de processos remots utilitza la secció RWX dins de la DLL vulnerable per realitzar la injecció de processos en un procés remot com ssh.exe. Aquestes estratègies permeten a Mockingjay manipular l'execució del codi de manera sigilosa, permetent als actors de l'amenaça eludir les mesures de detecció.
Un repte per als sistemes de detecció i resposta de punts finals (EDR).
A diferència dels enfocaments tradicionals, aquesta estratègia innovadora elimina la necessitat d'assignació de memòria, configuració de permisos o creació de fils dins del procés objectiu per iniciar l'execució del codi injectat. Els investigadors van destacar que aquesta característica única suposa un repte important per als sistemes de detecció i resposta de punt final (EDR), ja que es desvia dels patrons típics que haurien de detectar. Aquestes troballes sorgeixen després d'una altra revelació recent d'un mètode que aprofita la tecnologia de desplegament legítima de Visual Studio anomenada ClickOnce. Aquest mètode permet als actors de les amenaces assolir l'execució de codi arbitrari i obtenir accés inicial, posant èmfasi en el panorama en evolució de les tècniques d'atac sofisticades.