Tehnika ubacivanja procesa Mockingjay predstavljena kao nedostižna metoda za izbjegavanje otkrivanja zlonamjernog softvera
Pojavila se vrhunska tehnika ubacivanja procesa pod nazivom Mockingjay, predstavljajući potencijalni put za aktere prijetnji da izbjegnu sigurnosne mjere i izvrše oštećeni kod na kompromitiranim sustavima. Istraživači sigurnosti identificirali su ovu tehniku koja zaobilazi potrebu za dodjelom prostora, postavkama dopuštenja ili inicijalizacijom niti tijekom ubrizgavanja. Prema njihovom izvješću koje su podijelili s The Hacker News, posebnost Mockingjaya leži u njegovom oslanjanju na ranjivi DLL i preciznom postavljanju koda unutar odgovarajućeg odjeljka.
Sadržaj
Što je procesna injekcija?
Process injection je tehnički zlonamjerni softver koji zlonamjerni akteri koriste za umetanje i izvršavanje koda unutar memorijskog prostora legitimnog procesa koji se izvodi na računalu. Umetnuti kod obično dopušta neovlašteni pristup ili izvodi štetne radnje unutar ciljanog procesa, često s ciljem da zaobiđe sigurnosne mjere i ostane neotkriven. Tehnike ubacivanja procesa iskorištavaju ranjivosti ili slabosti u operativnom sustavu ili aplikacijama kako bi se stekla kontrola nad procesom i manipuliralo njegovim ponašanjem. Standardne metode ubacivanja procesa uključuju DLL, kod i izdubljivanje procesa.
Tehnike ubacivanja procesa su različite i obuhvaćaju različite metode koje zlonamjerni softver ili loše orijentirani akteri koriste za ubacivanje koda u legitimne procese. Neke istaknute tehnike ubacivanja procesa uključuju ubacivanje DLL-a, gdje se kompromitirani DLL učitava u ciljni proces; prijenosno izvršno ubrizgavanje, koje uključuje ubrizgavanje koda iz zasebne izvršne datoteke; otimanje izvršavanja niti, gdje se tok izvršenja legitimne niti preusmjerava na loš kod; šupljina procesa, gdje se stvara legitiman proces i zatim zamjenjuje lošim kodom; i proces doppelgänging, koji uključuje manipulaciju datotečnim sustavom i atributima procesa kako bi se stvorio nesiguran proces.
Svaka se tehnika oslanja na specifične sistemske pozive i Windows API-je za izvođenje ubrizgavanja, omogućujući braniteljima da razviju učinkovite strategije otkrivanja i ublažavanja. Razumijevanjem temeljnih mehanizama ovih metoda ubrizgavanja, sigurnosni stručnjaci mogu osmisliti odgovarajuće protumjere i zaštitne sustave protiv takvih napada.
Jedinstvene osobine šojke rugalice
Mockingjay se ističe zaobilaženjem tradicionalnih sigurnosnih mjera pametnim korištenjem postojećih Windows prijenosnih izvršnih datoteka s memorijskim blokom zaštićenim dozvolama za čitanje-pisanje-izvršavanje (RWX). Ovaj inovativni pristup eliminira potrebu za pokretanjem nadziranih Windows API-ja koje obično nadziru sigurnosna rješenja. Korištenjem msys-2.0.dll, koji nudi znatnih 16 KB dostupnog RWX prostora, Mockingjay učinkovito skriva nesiguran kod i djeluje tajno. Presudno je priznati potencijalno postojanje drugih ranjivih DLL-ova sa sličnim atributima.
Mockingjay koristi dvije različite metode; samoinjektiranje i daljinsko ubacivanje procesa, kako bi se olakšalo ubacivanje koda, što rezultira poboljšanom učinkovitosti napada i izbjegavanjem otkrivanja. Tehnika samoinjektiranja uključuje izravno učitavanje ranjivog DLL-a u adresni prostor prilagođene aplikacije, omogućavajući izvršenje željenog koda putem RWX odjeljka. S druge strane, daljinsko ubrizgavanje procesa koristi odjeljak RWX unutar ranjivog DLL-a za izvođenje ubrizgavanja procesa u udaljeni proces kao što je ssh.exe. Ove strategije omogućuju Mockingjayu da potajno manipulira izvršavanjem koda, omogućujući akterima prijetnji da izbjegnu mjere otkrivanja.
Izazov za sustave otkrivanja i odgovora krajnjih točaka (EDR).
Za razliku od tradicionalnih pristupa, ova inovativna strategija eliminira potrebu za dodjelom memorije, postavljanjem dopuštenja ili stvaranjem niti unutar ciljanog procesa kako bi se pokrenulo izvršenje umetnutog koda. Istraživači su istaknuli da ova jedinstvena značajka predstavlja značajan izazov za sustave otkrivanja i odgovora krajnjih točaka (EDR), budući da odstupa od tipičnih obrazaca koje bi trebali otkriti. Ova otkrića pojavljuju se nakon još jednog nedavnog otkrića metode koja iskorištava legitimnu tehnologiju implementacije Visual Studio pod nazivom ClickOnce. Ova metoda omogućuje akterima prijetnji postizanje proizvoljnog izvršenja koda i dobivanje početnog pristupa, naglašavajući evoluirajući krajolik sofisticiranih tehnika napada.