Technika vstřikování procesu Mockingjay odhalena jako nepolapitelná metoda, jak se malware vyhnout detekci
Objevila se špičková technika procesního vkládání zvaná Mockingjay, která představuje potenciální cestu pro aktéry hrozeb, jak uniknout bezpečnostním opatřením a spustit poškozený kód na kompromitovaných systémech. Bezpečnostní výzkumníci identifikovali tuto techniku, která obchází potřebu alokace prostoru, nastavení oprávnění nebo inicializace vláken během injekce. Podle jejich zprávy sdílené s The Hacker News spočívá odlišnost Mockingjay v jeho spoléhání se na zranitelnou knihovnu DLL a přesném umístění kódu do příslušné sekce.
Obsah
Co je to procesní injekce?
Process injection je technický malware, který zlomyslní herci používají k vkládání a spouštění kódu do paměťového prostoru legitimního procesu běžícího na počítači. Vložený kód obvykle uděluje neoprávněný přístup nebo provádí škodlivé akce v rámci cíleného procesu, často s cílem obejít bezpečnostní opatření a zůstat neodhalen. Techniky vkládání procesů využívají zranitelnosti nebo slabiny v operačním systému nebo aplikacích k získání kontroly nad procesem a manipulaci s jeho chováním. Standardní metody procesního vkládání zahrnují DLL, kód a procesní vyhloubení.
Techniky vkládání procesů jsou různé a zahrnují různé metody, které malware nebo špatně orientovaní aktéři používají k vkládání kódu do legitimních procesů. Některé prominentní techniky vkládání procesů zahrnují vkládání DLL, kde je kompromitovaná DLL načtena do cílového procesu; přenosné spustitelné vkládání, které zahrnuje vložení kódu ze samostatného spustitelného souboru; únos provádění vláken, kdy je tok provádění legitimního vlákna přesměrován na špatný kód; proces hollowing, kdy je vytvořen legitimní proces a poté nahrazen špatným kódem; a proces doppelgänging, který zahrnuje manipulaci se systémem souborů a atributy procesu za účelem vytvoření nebezpečného procesu.
Každá technika se při provádění injekce spoléhá na specifická systémová volání a rozhraní API systému Windows, což obráncům umožňuje vyvinout účinné strategie detekce a zmírnění. Po pochopení základních mechanismů těchto injekčních metod mohou bezpečnostní odborníci navrhnout vhodná protiopatření a ochranné systémy proti takovým útokům.
Jedinečné rysy Mockingjaye
Mockingjay se odlišuje tím, že obchází tradiční bezpečnostní opatření chytrým využitím stávajících přenosných spustitelných souborů Windows s blokem paměti chráněným oprávněním Read-Write-Execute (RWX). Tento inovativní přístup eliminuje potřebu spouštět monitorovaná rozhraní Windows API, která jsou obvykle monitorována bezpečnostními řešeními. Využitím msys-2.0.dll, který nabízí podstatných 16 KB dostupného prostoru RWX, Mockingjay účinně skrývá nebezpečný kód a funguje skrytě. Je nezbytné uznat potenciální existenci dalších zranitelných knihoven DLL s podobnými atributy.
Mockingjay používá dvě odlišné metody; vlastní vkládání a vkládání vzdáleného procesu pro usnadnění vkládání kódu, což má za následek zvýšenou efektivitu útoku a vyhýbání se detekci. Technika self-injection zahrnuje přímé načtení zranitelné knihovny DLL do adresního prostoru vlastní aplikace, což umožňuje spuštění požadovaného kódu prostřednictvím sekce RWX. Na druhou stranu, vzdálené vkládání procesu využívá sekci RWX v zranitelné knihovně DLL k provádění vkládání procesu do vzdáleného procesu, jako je ssh.exe. Tyto strategie umožňují Mockingjayovi tajně manipulovat s prováděním kódu, což umožňuje aktérům hrozeb vyhýbat se detekčním opatřením.
Výzva pro systémy detekce a odezvy koncových bodů (EDR).
Na rozdíl od tradičních přístupů tato inovativní strategie eliminuje potřebu alokace paměti, nastavení oprávnění nebo vytváření vláken v rámci cílového procesu pro zahájení provádění vloženého kódu. Výzkumníci zdůraznili, že tato jedinečná funkce představuje významnou výzvu pro systémy Endpoint Detection and Response (EDR), protože se odchyluje od typických vzorů, které by měly detekovat. Tato zjištění se objevují po dalším nedávném odhalení metody využívající legitimní technologii nasazení Visual Studio nazvanou ClickOnce. Tato metoda umožňuje aktérům hrozeb dosáhnout libovolného spuštění kódu a získat počáteční přístup, přičemž zdůrazňuje vyvíjející se prostředí sofistikovaných útočných technik.