Mockingjay-prosessin injektiotekniikka paljastettiin vaikeaksi menetelmäksi haittaohjelmien havaitsemisen välttämiseksi
Huippuluokan prosessiinjektiotekniikka nimeltä Mockingjay on ilmaantunut, ja se tarjoaa uhkatoimijoille mahdollisuuden välttää turvatoimia ja suorittaa vioittunutta koodia vaarantuneissa järjestelmissä. Tietoturvatutkijat ovat tunnistaneet tämän tekniikan, joka kiertää tilan varauksen, lupa-asetusten tai säikeen alustuksen tarpeen injektion aikana. Heidän The Hacker Newsin kanssa jakaman raportin mukaan Mockingjayn erottuvuus piilee sen riippuvuudessa haavoittuvaan DLL:ään ja koodin tarkasta sijoittamisesta asianmukaiseen osioon.
Sisällysluettelo
Mikä on prosessiinjektio?
Prosessin injektio on tekninen haittaohjelma, jota pahamieliset toimijat käyttävät koodin lisäämiseen ja suorittamiseen tietokoneella ajettavan laillisen prosessin muistitilaan. Injektoitu koodi yleensä myöntää luvattoman pääsyn tai suorittaa haitallisia toimia kohdistetussa prosessissa, pyrkien usein ohittamaan turvatoimenpiteet ja jäämään huomaamatta. Prosessin lisäystekniikat hyödyntävät käyttöjärjestelmän tai sovellusten haavoittuvuuksia tai heikkouksia prosessin hallitsemiseksi ja sen käyttäytymisen manipuloimiseksi. Vakioprosessin injektiomenetelmiä ovat DLL, koodi ja prosessin tyhjennys.
Prosessin lisäystekniikat ovat erilaisia ja sisältävät erilaisia menetelmiä, joita haittaohjelmat tai huonosti suuntautuneet toimijat käyttävät syöttääkseen koodia laillisiin prosesseihin. Eräitä merkittäviä prosessiinjektiotekniikoita ovat DLL-injektio, jossa vaarantunut DLL ladataan kohdeprosessiin; kannettava suoritettava injektio, joka sisältää koodin lisäämisen erillisestä suoritettavasta tiedostosta; säikeen suorituksen kaappaus, jossa laillisen säikeen suoritusvirta ohjataan huonoon koodiin; prosessin hollowing, jossa laillinen prosessi luodaan ja korvataan sitten huonolla koodilla; ja prosessin kaksoiskäyttö, joka sisältää tiedostojärjestelmän ja prosessin attribuuttien manipuloinnin vaarallisen prosessin luomiseksi.
Jokainen tekniikka perustuu tiettyihin järjestelmäkutsuihin ja Windowsin API-liittymiin ruiskeen suorittamiseksi, jolloin puolustajat voivat kehittää tehokkaita havaitsemis- ja lieventämisstrategioita. Ymmärtämällä näiden injektiomenetelmien taustalla olevat mekanismit turvallisuusalan ammattilaiset voivat suunnitella asianmukaisia vastatoimia ja suojajärjestelmiä tällaisia hyökkäyksiä vastaan.
Mockingjayn ainutlaatuiset piirteet
Mockingjay erottuu joukosta kiertämällä perinteiset turvatoimenpiteet hyödyntämällä taitavasti olemassa olevia kannettavia Windows-suoritustiedostoja muistilohkolla, joka on suojattu Read-Write-Execute (RWX) -oikeuksilla. Tämä innovatiivinen lähestymistapa poistaa tarpeen käynnistää valvottuja Windows-sovellusliittymiä, joita tyypillisesti valvovat suojausratkaisut. Hyödyntämällä msys-2.0.dll-tiedostoa, joka tarjoaa huomattavan 16 kilotavua RWX-tilaa, Mockingjay piilottaa tehokkaasti vaarallisen koodin ja toimii salaisesti. On välttämätöntä tunnustaa muiden haavoittuvien DLL-tiedostojen olemassaolo, joilla on samanlaiset ominaisuudet.
Mockingjay käyttää kahta erilaista menetelmää; itseinjektio ja etäprosessin injektio helpottamaan koodin injektiota, mikä parantaa hyökkäyksen tehokkuutta ja havaitsemisen kiertämistä. Itseinjektiotekniikka sisältää haavoittuvan DLL:n lataamisen suoraan mukautetun sovelluksen osoiteavaruuteen, mikä mahdollistaa halutun koodin suorittamisen RWX-osan kautta. Toisaalta etäprosessin lisäys käyttää haavoittuvan DLL:n RWX-osaa suorittaakseen prosessin lisäyksen etäprosessissa, kuten ssh.exe. Näiden strategioiden avulla Mockingjay voi manipuloida koodin suorittamista salakavalasti, jolloin uhkatekijät voivat kiertää havaitsemistoimenpiteitä.
Haaste Endpoint Detection and Response (EDR) -järjestelmille
Toisin kuin perinteiset lähestymistavat, tämä innovatiivinen strategia eliminoi muistin varaamisen, käyttöoikeuksien asettamisen tai säikeen luomisen tarpeen kohdeprosessissa syötetyn koodin suorittamisen aloittamiseksi. Tutkijat korostivat, että tämä ainutlaatuinen ominaisuus on merkittävä haaste Endpoint Detection and Response (EDR) -järjestelmille, koska se poikkeaa tyypillisistä malleista, jotka niiden pitäisi havaita. Nämä havainnot syntyvät toisen äskettäisen paljastuksen jälkeen menetelmästä, joka hyödyntää laillista Visual Studion käyttöönottotekniikkaa nimeltä ClickOnce. Tämän menetelmän avulla uhkatekijät voivat suorittaa mielivaltaisen koodin ja saada alkupääsyn, mikä korostaa kehittyneiden hyökkäystekniikoiden kehittyvää maisemaa.