Mockingjay-procesinjektionsteknikken afsløret som en undvigende metode til malware til at undgå detektion
En banebrydende procesinjektionsteknik kaldet Mockingjay er dukket op, som præsenterer en potentiel mulighed for trusselsaktører til at unddrage sig sikkerhedsforanstaltninger og udføre en korrupt kode på kompromitterede systemer. Sikkerhedsforskere har identificeret denne teknik, som omgår behovet for pladsallokering, tilladelsesindstillinger eller trådinitialisering under injektionen. Ifølge deres rapport delt med The Hacker News, ligger Mockingjays særpræg i dens afhængighed af en sårbar DLL og den præcise placering af kode i den relevante sektion.
Indholdsfortegnelse
Hvad er en procesinjektion?
Procesinjektion er en teknisk malware, som ondsindede aktører bruger til at indsætte og udføre kode i hukommelsespladsen af en legitim proces, der kører på en computer. Den injicerede kode giver typisk uautoriseret adgang eller udfører skadelige handlinger inden for den målrettede proces, ofte med det formål at omgå sikkerhedsforanstaltninger og forblive uopdaget. Procesinjektionsteknikker udnytter sårbarheder eller svagheder i operativsystemet eller applikationerne til at få kontrol over en proces og manipulere dens adfærd. Standardprocesinjektionsmetoder omfatter DLL, kode og procesudhulning.
Procesinjektionsteknikker er forskellige og omfatter forskellige metoder, som malware eller dårligt orienterede aktører anvender til at injicere kode i legitime processer. Nogle fremtrædende procesinjektionsteknikker omfatter DLL-injektion, hvor en kompromitteret DLL indlæses i en målproces; bærbar eksekverbar injektion, som involverer indsprøjtning af kode fra en separat eksekverbar fil; kapring af trådudførelse, hvor udførelsesstrømmen af en legitim tråd omdirigeres til en dårlig kode; proces hulning, hvor en legitim proces er oprettet og derefter erstattet med dårlig kode; og procesdoppelgänging, som involverer manipulation af filsystemet og procesattributter for at skabe en usikker proces.
Hver teknik er afhængig af specifikke systemkald og Windows API'er til at udføre injektionen, hvilket gør det muligt for forsvarere at udvikle effektive detektions- og afhjælpningsstrategier. Ved at forstå de underliggende mekanismer for disse injektionsmetoder kan sikkerhedsprofessionelle udtænke passende modforanstaltninger og sikre systemer mod sådanne angreb.
De unikke træk ved Mockingjay
Mockingjay adskiller sig ved at omgå traditionelle sikkerhedsforanstaltninger ved at bruge eksisterende Windows bærbare eksekverbare filer med en hukommelsesblok beskyttet med Read-Write-Execute (RWX) tilladelser. Denne innovative tilgang eliminerer behovet for at udløse overvågede Windows API'er, der typisk overvåges af sikkerhedsløsninger. Ved at udnytte msys-2.0.dll, som tilbyder en betydelig 16 KB ledig RWX-plads, skjuler Mockingjay effektivt usikker kode og fungerer skjult. Det er vigtigt at anerkende den potentielle eksistens af andre sårbare DLL'er med lignende attributter.
Mockingjay anvender to forskellige metoder; selvinjektion og fjernprocesinjektion for at lette kodeinjektion, hvilket resulterer i forbedret angrebseffektivitet og undgåelse af detektion. Selvinjektionsteknikken involverer direkte indlæsning af den sårbare DLL i adresserummet i en brugerdefineret applikation, hvilket muliggør eksekvering af den ønskede kode via RWX-sektionen. På den anden side bruger fjernprocesinjektionen RWX-sektionen i den sårbare DLL til at udføre procesinjektion i en fjernproces som ssh.exe. Disse strategier gør det muligt for Mockingjay at manipulere kodeeksekvering snigende, hvilket gør det muligt for trusselsaktører at unddrage sig detektionsforanstaltninger.
En udfordring for Endpoint Detection and Response (EDR)-systemer
I modsætning til traditionelle tilgange eliminerer denne innovative strategi behovet for hukommelsesallokering, tilladelsesindstilling eller trådoprettelse inden for målprocessen for at påbegynde eksekveringen af injiceret kode. Forskerne fremhævede, at denne unikke egenskab udgør en betydelig udfordring for Endpoint Detection and Response (EDR) systemer, da den afviger fra de typiske mønstre, de burde opdage. Disse resultater dukker op efter endnu en nylig afsløring af en metode, der udnytter den legitime Visual Studio-implementeringsteknologi kaldet ClickOnce. Denne metode gør det muligt for trusselsaktører at opnå vilkårlig kodeudførelse og få indledende adgang, hvilket understreger det udviklende landskab af sofistikerede angrebsteknikker.