Mockingjay protsessi süstimistehnika avalikustati kui tabamatu meetod pahavara tuvastamisest kõrvalehoidmiseks
Tekkinud on tipptasemel protsesside sisestamise tehnika nimega Mockingjay, mis pakub ohus osalejatele potentsiaalset võimalust turvameetmetest kõrvale hiilida ja rikutud süsteemides rikutud koodi käivitada. Turvateadlased on tuvastanud selle tehnika, mis väldib süstimise ajal ruumi eraldamist, lubade seadistusi või lõime lähtestamist. Nende The Hacker Newsiga jagatud aruande kohaselt seisneb Mockingjay eripära selle sõltuvuses haavatavast DLL-ist ja koodi täpsest paigutusest vastavasse jaotisesse.
Sisukord
Mis on protsessi süstimine?
Protsessi sisestamine on tehniline pahavara, mida pahatahtlikud näitlejad kasutavad koodi sisestamiseks ja käivitamiseks arvutis töötava seadusliku protsessi mäluruumi. Sisestatud kood annab tavaliselt volitamata juurdepääsu või teeb sihitud protsessis kahjulikke toiminguid, mille eesmärk on sageli turvameetmetest mööda hiilida ja jääda avastamata. Protsessi sisestamise tehnikad kasutavad ära operatsioonisüsteemi või rakenduste haavatavusi või nõrkusi, et saavutada kontroll protsessi üle ja manipuleerida selle käitumisega. Standardsete protsesside sisestamise meetodid hõlmavad DLL-i, koodi ja protsessi õõnestamist.
Protsessi sisestamise tehnikad on mitmekesised ja hõlmavad erinevaid meetodeid, mida pahavara või halvasti orienteeritud osalejad kasutavad koodi sisestamiseks seaduslikesse protsessidesse. Mõned silmapaistvad protsesside sisestamise tehnikad hõlmavad DLL-i süstimist, kus kahjustatud DLL laaditakse sihtprotsessi; kaasaskantav käivitatav süstimine, mis hõlmab koodi sisestamist eraldi käivitatavast failist; lõime täitmise kaaperdamine, kus seadusliku lõime täitmisvoog suunatakse ümber halvale koodile; protsessi õõnestamine, kus luuakse legitiimne protsess ja seejärel asendatakse see halva koodiga; ja protsessi doppelgänging, mis hõlmab failisüsteemi ja protsessi atribuutide manipuleerimist, et luua ebaturvaline protsess.
Iga tehnika toetub süstimise läbiviimiseks konkreetsetele süsteemikutstele ja Windowsi API-dele, mis võimaldab kaitsjatel välja töötada tõhusad tuvastamis- ja leevendamisstrateegiad. Mõistes nende süstimismeetodite aluseks olevaid mehhanisme, saavad turvaspetsialistid välja töötada sobivad vastumeetmed ja kaitsesüsteemid selliste rünnakute vastu.
Mockingjay ainulaadsed omadused
Mockingjay eristab end traditsioonilistest turvameetmetest kõrvalehoidmisega, kasutades nutikalt olemasolevaid Windowsi kaasaskantavaid täitmisfaile, mille mäluplokk on kaitstud lugemis-kirjutamise-käivitamislubadega (RWX). See uuenduslik lähenemine välistab vajaduse käivitada jälgitavaid Windowsi API-sid, mida tavaliselt jälgivad turvalahendused. Kasutades faili msys-2.0.dll, mis pakub märkimisväärset 16 KB vaba RWX-ruumi, varjab Mockingjay tõhusalt ebaturvalist koodi ja töötab varjatult. Oluline on tunnistada teiste haavatavate, sarnaste atribuutidega DLL-ide olemasolu.
Mockingjay kasutab kahte erinevat meetodit; isesüstimine ja kaugprotsesside süstimine, et hõlbustada koodi sisestamist, mille tulemuseks on suurem ründe tõhusus ja tuvastamisest kõrvalehoidmine. Enesesüstimise tehnika hõlmab haavatava DLL-i otsest laadimist kohandatud rakenduse aadressiruumi, võimaldades soovitud koodi käivitamist RWX-i sektsiooni kaudu. Teisest küljest kasutab kaugprotsesside sisestamine haavatavas DLL-i RWX-i sektsiooni, et teha protsessi sisestamine kaugprotsessis, näiteks ssh.exe. Need strateegiad võimaldavad Mockingjayl koodi täitmisega salaja manipuleerida, võimaldades ohus osalejatel avastamismeetmetest kõrvale hiilida.
Väljakutse lõpp-punkti tuvastamise ja reageerimise (EDR) süsteemidele
Erinevalt traditsioonilistest lähenemisviisidest välistab see uuenduslik strateegia sihtprotsessis mälu eraldamise, lubade seadmise või lõime loomise vajaduse, et käivitada sisestatud koodi käivitamine. Teadlased rõhutasid, et see ainulaadne funktsioon kujutab lõpp-punkti tuvastamise ja reageerimise (EDR) süsteemidele märkimisväärset väljakutset, kuna see erineb tüüpilistest mustritest, mida nad peaksid tuvastama. Need leiud ilmnevad pärast järjekordset hiljutist ilmutust meetodi kohta, mis kasutab legitiimset Visual Studio juurutustehnoloogiat nimega ClickOnce. See meetod võimaldab ohus osalejatel saavutada suvalise koodi täitmise ja saada esialgse juurdepääsu, rõhutades keerukate ründetehnikate arenevat maastikku.