روش تزریق فرآیند Mockingjay به عنوان روشی گریزان برای بدافزار برای فرار از شناسایی رونمایی شد
یک تکنیک پیشرفته تزریق فرآیند به نام Mockingjay پدیدار شده است که یک راه بالقوه برای عوامل تهدید برای فرار از اقدامات امنیتی و اجرای یک کد خراب در سیستمهای در معرض خطر ارائه میکند. محققان امنیتی این تکنیک را شناسایی کردهاند که نیاز به تخصیص فضا، تنظیمات مجوز یا مقداردهی اولیه نخ را در طول تزریق دور میزند. بر اساس گزارش آنها که با The Hacker News به اشتراک گذاشته شده است، وجه تمایز Mockingjay در اتکا به یک DLL آسیب پذیر و قرار دادن دقیق کد در بخش مناسب نهفته است.
فهرست مطالب
تزریق فرآیندی چیست؟
Process Injection یک بدافزار فنی است که بازیگران بد فکر از آن برای درج و اجرای کد در فضای حافظه یک فرآیند قانونی که بر روی رایانه اجرا می شود استفاده می کنند. کد تزریق شده معمولاً دسترسی غیرمجاز می دهد یا اقدامات مضر را در فرآیند هدفمند انجام می دهد، که اغلب با هدف دور زدن اقدامات امنیتی و ناشناخته ماندن است. تکنیکهای تزریق فرآیند از آسیبپذیریها یا ضعفهای موجود در سیستم عامل یا برنامهها برای به دست آوردن کنترل بر فرآیند و دستکاری رفتار آن بهرهبرداری میکنند. روش های استاندارد تزریق فرآیند شامل DLL، کد و حفره فرآیند می باشد.
تکنیکهای تزریق فرآیند متنوع هستند و روشهای مختلفی را در بر میگیرند که بدافزار یا بازیگران بدگرا برای تزریق کد به فرآیندهای قانونی استفاده میکنند. برخی از تکنیک های برجسته تزریق فرآیند عبارتند از تزریق DLL، که در آن یک DLL در معرض خطر در یک فرآیند هدف بارگذاری می شود. تزریق اجرایی قابل حمل، که شامل تزریق کد از یک فایل اجرایی جداگانه است. ربودن thread execution hijacking، که در آن جریان اجرای یک رشته قانونی به یک کد بد هدایت می شود. فرآیند توخالی، که در آن یک فرآیند قانونی ایجاد می شود و سپس با کد بد جایگزین می شود. و فرآیند doppelgänging، که شامل دستکاری سیستم فایل و ویژگی های فرآیند برای ایجاد یک فرآیند ناامن است.
هر تکنیک برای انجام تزریق به فراخوانیهای سیستمی و APIهای ویندوز تکیه میکند و مدافعان را قادر میسازد تا استراتژیهای شناسایی و کاهش مؤثری را توسعه دهند. با درک مکانیسم های اساسی این روش های تزریق، متخصصان امنیتی می توانند اقدامات متقابل مناسب و سیستم های حفاظتی در برابر چنین حملاتی را طراحی کنند.
ویژگی های منحصر به فرد Mockingjay
Mockingjay خود را با دور زدن اقدامات امنیتی سنتی با استفاده هوشمندانه از فایل های اجرایی قابل حمل ویندوز موجود با یک بلوک حافظه محافظت شده با مجوزهای Read-Write-Execute (RWX) متمایز می کند. این رویکرد نوآورانه نیاز به راه اندازی API های نظارت شده ویندوز را که معمولاً توسط راه حل های امنیتی نظارت می شوند را حذف می کند. Mockingjay با استفاده از msys-2.0.dll، که 16 کیلوبایت فضای RWX موجود را ارائه میکند، به طور موثر کدهای ناامن را پنهان میکند و به صورت مخفیانه عمل میکند. اذعان به وجود بالقوه دیگر DLL های آسیب پذیر با ویژگی های مشابه ضروری است.
Mockingjay از دو روش متمایز استفاده می کند. خود تزریق، و تزریق فرآیند از راه دور، برای تسهیل تزریق کد، که منجر به افزایش اثربخشی حمله و فرار از تشخیص می شود. تکنیک خود تزریق شامل بارگیری مستقیم DLL آسیبپذیر در فضای آدرس یک برنامه سفارشی است که امکان اجرای کد مورد نظر را از طریق بخش RWX فراهم میکند. از سوی دیگر، تزریق فرآیند از راه دور از بخش RWX در DLL آسیبپذیر برای انجام تزریق فرآیند در یک فرآیند راه دور مانند ssh.exe استفاده میکند. این استراتژیها Mockingjay را قادر میسازد تا اجرای کد را مخفیانه دستکاری کند و عاملان تهدید را قادر میسازد تا از اقدامات شناسایی فرار کنند.
چالشی برای سیستمهای تشخیص و پاسخ نقطه پایانی (EDR).
برخلاف رویکردهای سنتی، این استراتژی نوآورانه نیاز به تخصیص حافظه، تنظیم مجوز، یا ایجاد رشته در فرآیند هدف را برای شروع اجرای کد تزریقی حذف میکند. محققان تاکید کردند که این ویژگی منحصر به فرد چالش مهمی برای سیستمهای تشخیص و پاسخ نقطه پایانی (EDR) ایجاد میکند، زیرا از الگوهای معمولی که باید تشخیص دهند منحرف میشود. این یافتهها پس از افشای اخیر روشی که از فناوری استقرار قانونی ویژوال استودیو به نام ClickOnce استفاده میکند، پدیدار شد. این روش بازیگران تهدید را قادر میسازد تا به اجرای کد دلخواه دست یابند و دسترسی اولیه را به دست آورند و بر چشمانداز در حال تکامل تکنیکهای حمله پیچیده تأکید دارند.