روش تزریق فرآیند Mockingjay به عنوان روشی گریزان برای بدافزار برای فرار از شناسایی رونمایی شد

یک تکنیک پیشرفته تزریق فرآیند به نام Mockingjay پدیدار شده است که یک راه بالقوه برای عوامل تهدید برای فرار از اقدامات امنیتی و اجرای یک کد خراب در سیستم‌های در معرض خطر ارائه می‌کند. محققان امنیتی این تکنیک را شناسایی کرده‌اند که نیاز به تخصیص فضا، تنظیمات مجوز یا مقداردهی اولیه نخ را در طول تزریق دور می‌زند. بر اساس گزارش آنها که با The Hacker News به اشتراک گذاشته شده است، وجه تمایز Mockingjay در اتکا به یک DLL آسیب پذیر و قرار دادن دقیق کد در بخش مناسب نهفته است.

تزریق فرآیندی چیست؟

Process Injection یک بدافزار فنی است که بازیگران بد فکر از آن برای درج و اجرای کد در فضای حافظه یک فرآیند قانونی که بر روی رایانه اجرا می شود استفاده می کنند. کد تزریق شده معمولاً دسترسی غیرمجاز می دهد یا اقدامات مضر را در فرآیند هدفمند انجام می دهد، که اغلب با هدف دور زدن اقدامات امنیتی و ناشناخته ماندن است. تکنیک‌های تزریق فرآیند از آسیب‌پذیری‌ها یا ضعف‌های موجود در سیستم عامل یا برنامه‌ها برای به دست آوردن کنترل بر فرآیند و دستکاری رفتار آن بهره‌برداری می‌کنند. روش های استاندارد تزریق فرآیند شامل DLL، کد و حفره فرآیند می باشد.

تکنیک‌های تزریق فرآیند متنوع هستند و روش‌های مختلفی را در بر می‌گیرند که بدافزار یا بازیگران بد‌گرا برای تزریق کد به فرآیندهای قانونی استفاده می‌کنند. برخی از تکنیک های برجسته تزریق فرآیند عبارتند از تزریق DLL، که در آن یک DLL در معرض خطر در یک فرآیند هدف بارگذاری می شود. تزریق اجرایی قابل حمل، که شامل تزریق کد از یک فایل اجرایی جداگانه است. ربودن thread execution hijacking، که در آن جریان اجرای یک رشته قانونی به یک کد بد هدایت می شود. فرآیند توخالی، که در آن یک فرآیند قانونی ایجاد می شود و سپس با کد بد جایگزین می شود. و فرآیند doppelgänging، که شامل دستکاری سیستم فایل و ویژگی های فرآیند برای ایجاد یک فرآیند ناامن است.

هر تکنیک برای انجام تزریق به فراخوانی‌های سیستمی و APIهای ویندوز تکیه می‌کند و مدافعان را قادر می‌سازد تا استراتژی‌های شناسایی و کاهش مؤثری را توسعه دهند. با درک مکانیسم های اساسی این روش های تزریق، متخصصان امنیتی می توانند اقدامات متقابل مناسب و سیستم های حفاظتی در برابر چنین حملاتی را طراحی کنند.

ویژگی های منحصر به فرد Mockingjay

Mockingjay خود را با دور زدن اقدامات امنیتی سنتی با استفاده هوشمندانه از فایل های اجرایی قابل حمل ویندوز موجود با یک بلوک حافظه محافظت شده با مجوزهای Read-Write-Execute (RWX) متمایز می کند. این رویکرد نوآورانه نیاز به راه اندازی API های نظارت شده ویندوز را که معمولاً توسط راه حل های امنیتی نظارت می شوند را حذف می کند. Mockingjay با استفاده از msys-2.0.dll، که 16 کیلوبایت فضای RWX موجود را ارائه می‌کند، به طور موثر کدهای ناامن را پنهان می‌کند و به صورت مخفیانه عمل می‌کند. اذعان به وجود بالقوه دیگر DLL های آسیب پذیر با ویژگی های مشابه ضروری است.

Mockingjay از دو روش متمایز استفاده می کند. خود تزریق، و تزریق فرآیند از راه دور، برای تسهیل تزریق کد، که منجر به افزایش اثربخشی حمله و فرار از تشخیص می شود. تکنیک خود تزریق شامل بارگیری مستقیم DLL آسیب‌پذیر در فضای آدرس یک برنامه سفارشی است که امکان اجرای کد مورد نظر را از طریق بخش RWX فراهم می‌کند. از سوی دیگر، تزریق فرآیند از راه دور از بخش RWX در DLL آسیب‌پذیر برای انجام تزریق فرآیند در یک فرآیند راه دور مانند ssh.exe استفاده می‌کند. این استراتژی‌ها Mockingjay را قادر می‌سازد تا اجرای کد را مخفیانه دستکاری کند و عاملان تهدید را قادر می‌سازد تا از اقدامات شناسایی فرار کنند.

چالشی برای سیستم‌های تشخیص و پاسخ نقطه پایانی (EDR).

برخلاف رویکردهای سنتی، این استراتژی نوآورانه نیاز به تخصیص حافظه، تنظیم مجوز، یا ایجاد رشته در فرآیند هدف را برای شروع اجرای کد تزریقی حذف می‌کند. محققان تاکید کردند که این ویژگی منحصر به فرد چالش مهمی برای سیستم‌های تشخیص و پاسخ نقطه پایانی (EDR) ایجاد می‌کند، زیرا از الگوهای معمولی که باید تشخیص دهند منحرف می‌شود. این یافته‌ها پس از افشای اخیر روشی که از فناوری استقرار قانونی ویژوال استودیو به نام ClickOnce استفاده می‌کند، پدیدار شد. این روش بازیگران تهدید را قادر می‌سازد تا به اجرای کد دلخواه دست یابند و دسترسی اولیه را به دست آورند و بر چشم‌انداز در حال تکامل تکنیک‌های حمله پیچیده تأکید دارند.