मल्टी-लाइसेंस छूट
Computer Security मैलवेयर का पता लगाने से बचने के लिए एक मायावी विधि के रूप...

मैलवेयर का पता लगाने से बचने के लिए एक मायावी विधि के रूप में मॉकिंगजे प्रोसेस इंजेक्शन तकनीक का अनावरण किया गया

Chance से Computer Security तक
अनुवाद करने के लिए:
हिन्दी
मेलवेयर कोड इंजेक्शन

मॉकिंगजे नामक एक अत्याधुनिक प्रक्रिया इंजेक्शन तकनीक उभरी है, जो खतरे वाले अभिनेताओं के लिए सुरक्षा उपायों से बचने और समझौता किए गए सिस्टम पर एक दूषित कोड को निष्पादित करने का एक संभावित अवसर प्रस्तुत करती है। सुरक्षा शोधकर्ताओं ने इस तकनीक की पहचान की है, जो इंजेक्शन के दौरान स्थान आवंटन, अनुमति सेटिंग्स या थ्रेड आरंभीकरण की आवश्यकता को दूर करती है। द हैकर न्यूज़ के साथ साझा की गई उनकी रिपोर्ट के अनुसार, मॉकिंगजे की विशिष्टता एक कमजोर डीएलएल पर निर्भरता और उपयुक्त अनुभाग के भीतर कोड की सटीक स्थिति में निहित है।

प्रोसेस इंजेक्शन क्या है?

प्रोसेस इंजेक्शन एक तकनीकी मैलवेयर है, जिसका उपयोग दुष्ट दिमाग वाले कलाकार कंप्यूटर पर चल रही वैध प्रक्रिया के मेमोरी स्पेस में कोड डालने और निष्पादित करने के लिए करते हैं। इंजेक्ट किया गया कोड आम तौर पर अनधिकृत पहुंच प्रदान करता है या लक्षित प्रक्रिया के भीतर हानिकारक कार्य करता है, जिसका उद्देश्य अक्सर सुरक्षा उपायों को दरकिनार करना होता है और पता नहीं चल पाता है। प्रक्रिया इंजेक्शन तकनीक किसी प्रक्रिया पर नियंत्रण हासिल करने और उसके व्यवहार में हेरफेर करने के लिए ऑपरेटिंग सिस्टम या अनुप्रयोगों में कमजोरियों या कमजोरियों का फायदा उठाती है। मानक प्रक्रिया इंजेक्शन विधियों में डीएलएल, कोड और प्रक्रिया खोखलापन शामिल है।

प्रक्रिया इंजेक्शन तकनीकें विविध हैं और इसमें विभिन्न तरीके शामिल हैं जिनका उपयोग मैलवेयर या गलत-उन्मुख अभिनेता वैध प्रक्रियाओं में कोड इंजेक्ट करने के लिए करते हैं। कुछ प्रमुख प्रक्रिया इंजेक्शन तकनीकों में डीएलएल इंजेक्शन शामिल है, जहां एक समझौता किए गए डीएलएल को लक्ष्य प्रक्रिया में लोड किया जाता है; पोर्टेबल निष्पादन योग्य इंजेक्शन, जिसमें एक अलग निष्पादन योग्य फ़ाइल से कोड इंजेक्ट करना शामिल है; थ्रेड निष्पादन अपहरण, जहां एक वैध थ्रेड का निष्पादन प्रवाह एक खराब कोड पर पुनर्निर्देशित किया जाता है; प्रक्रिया को खोखला करना, जहां एक वैध प्रक्रिया बनाई जाती है और फिर उसे खराब कोड से बदल दिया जाता है; और प्रक्रिया डोपेलगैंजिंग, जिसमें एक असुरक्षित प्रक्रिया बनाने के लिए फ़ाइल सिस्टम और प्रक्रिया विशेषताओं में हेरफेर करना शामिल है।

प्रत्येक तकनीक इंजेक्शन करने के लिए विशिष्ट सिस्टम कॉल और विंडोज एपीआई पर निर्भर करती है, जिससे रक्षकों को प्रभावी पहचान और शमन रणनीति विकसित करने में मदद मिलती है। इन इंजेक्शन विधियों के अंतर्निहित तंत्र को समझकर, सुरक्षा पेशेवर ऐसे हमलों के खिलाफ उचित जवाबी उपाय और सुरक्षा प्रणाली तैयार कर सकते हैं।

मॉकिंगजे के अनोखे लक्षण

मॉकिंगजे ने रीड-राइट-एक्ज़िक्यूट (आरडब्ल्यूएक्स) अनुमतियों के साथ संरक्षित मेमोरी ब्लॉक के साथ मौजूदा विंडोज पोर्टेबल निष्पादन योग्य फ़ाइलों का चतुराई से उपयोग करके पारंपरिक सुरक्षा उपायों को दरकिनार करके खुद को अलग कर लिया है। यह नवोन्मेषी दृष्टिकोण आम तौर पर सुरक्षा समाधानों द्वारा मॉनिटर किए गए मॉनिटर किए गए विंडोज एपीआई को ट्रिगर करने की आवश्यकता को समाप्त करता है। Msys-2.0.dll का लाभ उठाकर, जो पर्याप्त 16 KB उपलब्ध RWX स्थान प्रदान करता है, मॉकिंगजे प्रभावी रूप से असुरक्षित कोड को छुपाता है और गुप्त रूप से संचालित होता है। समान विशेषताओं वाले अन्य कमजोर डीएलएल के संभावित अस्तित्व को स्वीकार करना आवश्यक है।

मॉकिंगजे दो अलग-अलग तरीकों का इस्तेमाल करता है; कोड इंजेक्शन की सुविधा के लिए स्व-इंजेक्शन और रिमोट प्रोसेस इंजेक्शन, जिसके परिणामस्वरूप हमले की प्रभावशीलता में वृद्धि हुई और पता लगाने से बचा जा सका। सेल्फ-इंजेक्शन तकनीक में कमजोर डीएलएल को कस्टम एप्लिकेशन के एड्रेस स्पेस में सीधे लोड करना शामिल है, जिससे आरडब्ल्यूएक्स अनुभाग के माध्यम से वांछित कोड का निष्पादन सक्षम होता है। दूसरी ओर, दूरस्थ प्रक्रिया इंजेक्शन ssh.exe जैसी दूरस्थ प्रक्रिया में प्रक्रिया इंजेक्शन करने के लिए कमजोर DLL के भीतर RWX अनुभाग का उपयोग करता है। ये रणनीतियाँ मॉकिंगजे को गुप्त रूप से कोड निष्पादन में हेरफेर करने में सक्षम बनाती हैं, जिससे खतरे वाले अभिनेताओं को पता लगाने के उपायों से बचने में मदद मिलती है।

एंडपॉइंट डिटेक्शन एंड रिस्पांस (ईडीआर) सिस्टम के लिए एक चुनौती

पारंपरिक दृष्टिकोणों के विपरीत, यह अभिनव रणनीति इंजेक्टेड कोड के निष्पादन को आरंभ करने के लिए लक्ष्य प्रक्रिया के भीतर मेमोरी आवंटन, अनुमति सेटिंग या थ्रेड निर्माण की आवश्यकता को समाप्त कर देती है। शोधकर्ताओं ने इस बात पर प्रकाश डाला कि यह अनूठी विशेषता एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (ईडीआर) सिस्टम के लिए एक महत्वपूर्ण चुनौती है, क्योंकि यह उन विशिष्ट पैटर्न से भटकती है जिनका उन्हें पता लगाना चाहिए। ये निष्कर्ष ClickOnce नामक वैध विज़ुअल स्टूडियो परिनियोजन तकनीक का लाभ उठाने वाली एक विधि के एक और हालिया रहस्योद्घाटन के बाद सामने आए हैं। यह विधि ख़तरनाक अभिनेताओं को मनमाने ढंग से कोड निष्पादन प्राप्त करने और प्रारंभिक पहुंच प्राप्त करने में सक्षम बनाती है, जो परिष्कृत हमले तकनीकों के विकसित परिदृश्य पर जोर देती है।

लोड हो रहा है...