Η τεχνική Injection της διαδικασίας Mockingjay αποκαλύφθηκε ως μια άπιαστη μέθοδος για κακόβουλο λογισμικό για την αποφυγή ανίχνευσης
Μια πρωτοποριακή τεχνική έγχυσης διεργασιών που ονομάζεται Mockingjay έχει εμφανιστεί, παρουσιάζοντας μια πιθανή λεωφόρο για τους φορείς απειλών να αποφύγουν τα μέτρα ασφαλείας και να εκτελέσουν έναν κατεστραμμένο κώδικα σε παραβιασμένα συστήματα. Οι ερευνητές ασφαλείας έχουν εντοπίσει αυτήν την τεχνική, η οποία παρακάμπτει την ανάγκη για εκχώρηση χώρου, ρυθμίσεις αδειών ή αρχικοποίηση νήματος κατά τη διάρκεια της έγχυσης. Σύμφωνα με την έκθεσή τους που κοινοποιήθηκε στο The Hacker News, η ιδιαιτερότητα του Mockingjay έγκειται στην εξάρτησή του από ένα ευάλωτο DLL και στην ακριβή τοποθέτηση του κώδικα στην κατάλληλη ενότητα.
Πίνακας περιεχομένων
Τι είναι η Έγχυση Διαδικασίας;
Το Process Injection είναι ένα τεχνικό κακόβουλο λογισμικό, το οποίο χρησιμοποιούν κακοπροαίρετοι ηθοποιοί για να εισαγάγουν και να εκτελέσουν κώδικα εντός του χώρου μνήμης μιας νόμιμης διαδικασίας που εκτελείται σε έναν υπολογιστή. Ο κωδικός που εισάγεται συνήθως χορηγεί μη εξουσιοδοτημένη πρόσβαση ή εκτελεί επιβλαβείς ενέργειες εντός της στοχευμένης διαδικασίας, συχνά στοχεύοντας να παρακάμψει τα μέτρα ασφαλείας και να παραμείνει μη εντοπισμένος. Οι τεχνικές έγχυσης διεργασιών εκμεταλλεύονται τα τρωτά σημεία ή τις αδυναμίες του λειτουργικού συστήματος ή των εφαρμογών για να αποκτήσουν τον έλεγχο μιας διεργασίας και να χειραγωγήσουν τη συμπεριφορά της. Οι τυπικές μέθοδοι έγχυσης διεργασιών περιλαμβάνουν το DLL, τον κώδικα και το κοίλο διεργασίας.
Οι τεχνικές έγχυσης διεργασιών είναι ποικίλες και περιλαμβάνουν διάφορες μεθόδους που χρησιμοποιούν κακόβουλο λογισμικό ή κακοπροσανατολισμένοι φορείς για να εισάγουν κώδικα σε νόμιμες διαδικασίες. Ορισμένες εξέχουσες τεχνικές έγχυσης διεργασιών περιλαμβάνουν την έγχυση DLL, όπου ένα παραβιασμένο DLL φορτώνεται σε μια διεργασία-στόχο. φορητή εκτελέσιμη ένεση, η οποία περιλαμβάνει την έγχυση κώδικα από ένα ξεχωριστό εκτελέσιμο αρχείο. πειρατεία εκτέλεσης νήματος, όπου η ροή εκτέλεσης ενός νόμιμου νήματος ανακατευθύνεται σε έναν κακό κώδικα. διεργασία hollowing, όπου δημιουργείται μια νόμιμη διαδικασία και στη συνέχεια αντικαθίσταται με κακό κώδικα. και διεργασία doppelgänging, η οποία περιλαμβάνει τον χειρισμό του συστήματος αρχείων και των χαρακτηριστικών διεργασίας για τη δημιουργία μιας μη ασφαλούς διαδικασίας.
Κάθε τεχνική βασίζεται σε συγκεκριμένες κλήσεις συστήματος και API των Windows για την εκτέλεση της έγχυσης, επιτρέποντας στους υπερασπιστές να αναπτύξουν αποτελεσματικές στρατηγικές ανίχνευσης και μετριασμού. Κατανοώντας τους υποκείμενους μηχανισμούς αυτών των μεθόδων έγχυσης, οι επαγγελματίες ασφαλείας μπορούν να επινοήσουν κατάλληλα αντίμετρα και συστήματα προστασίας από τέτοιες επιθέσεις.
Τα μοναδικά χαρακτηριστικά του Mockingjay
Το Mockingjay ξεχωρίζει παρακάμπτοντας τα παραδοσιακά μέτρα ασφαλείας χρησιμοποιώντας έξυπνα υπάρχοντα φορητά εκτελέσιμα αρχεία των Windows με μπλοκ μνήμης που προστατεύεται με δικαιώματα Read-Write-Execute (RWX). Αυτή η καινοτόμος προσέγγιση εξαλείφει την ανάγκη ενεργοποίησης των παρακολουθούμενων API των Windows που συνήθως παρακολουθούνται από λύσεις ασφαλείας. Αξιοποιώντας το msys-2.0.dll, το οποίο προσφέρει ουσιαστικά 16 KB διαθέσιμου χώρου RWX, το Mockingjay αποκρύπτει αποτελεσματικά τον μη ασφαλή κώδικα και λειτουργεί κρυφά. Η αναγνώριση της πιθανής ύπαρξης άλλων ευάλωτων DLL με παρόμοια χαρακτηριστικά είναι απαραίτητη.
Το Mockingjay χρησιμοποιεί δύο διαφορετικές μεθόδους. αυτο-ένεση και απομακρυσμένη έγχυση διεργασίας, για διευκόλυνση της έγχυσης κώδικα, με αποτέλεσμα βελτιωμένη αποτελεσματικότητα επίθεσης και αποφυγή εντοπισμού. Η τεχνική self-injection περιλαμβάνει απευθείας φόρτωση του ευάλωτου DLL στο χώρο διευθύνσεων μιας προσαρμοσμένης εφαρμογής, επιτρέποντας την εκτέλεση του επιθυμητού κώδικα μέσω της ενότητας RWX. Από την άλλη πλευρά, η απομακρυσμένη ένεση διεργασίας χρησιμοποιεί την ενότητα RWX στο ευάλωτο DLL για να εκτελέσει την ένεση διεργασίας σε μια απομακρυσμένη διαδικασία όπως το ssh.exe. Αυτές οι στρατηγικές επιτρέπουν στο Mockingjay να χειρίζεται την εκτέλεση κώδικα κρυφά, επιτρέποντας στους παράγοντες απειλών να αποφύγουν τα μέτρα ανίχνευσης.
Μια πρόκληση για συστήματα ανίχνευσης και απόκρισης τελικού σημείου (EDR).
Σε αντίθεση με τις παραδοσιακές προσεγγίσεις, αυτή η καινοτόμος στρατηγική εξαλείφει την ανάγκη για εκχώρηση μνήμης, ρύθμιση αδειών ή δημιουργία νήματος εντός της διαδικασίας στόχου για την εκκίνηση της εκτέλεσης του εγχυόμενου κώδικα. Οι ερευνητές τόνισαν ότι αυτό το μοναδικό χαρακτηριστικό αποτελεί σημαντική πρόκληση για τα συστήματα ανίχνευσης και απόκρισης τελικού σημείου (EDR), καθώς αποκλίνει από τα τυπικά μοτίβα που θα έπρεπε να ανιχνεύσουν. Αυτά τα ευρήματα προκύπτουν μετά από μια άλλη πρόσφατη αποκάλυψη μιας μεθόδου που αξιοποιεί τη νόμιμη τεχνολογία ανάπτυξης του Visual Studio που ονομάζεται ClickOnce. Αυτή η μέθοδος επιτρέπει στους παράγοντες απειλών να επιτύχουν αυθαίρετη εκτέλεση κώδικα και να αποκτήσουν αρχική πρόσβαση, δίνοντας έμφαση στο εξελισσόμενο τοπίο των εξελιγμένων τεχνικών επίθεσης.