A Mockingjay eljárási befecskendezési technikát a rosszindulatú programok megfoghatatlan módszereként mutatták be az észlelés elkerülésére
Megjelent a Mockingjay nevű csúcstechnológiás folyamatinjektálási technika, amely potenciális lehetőséget kínál a fenyegetések szereplői számára, hogy elkerüljék a biztonsági intézkedéseket, és hibás kódot hajtsanak végre a feltört rendszereken. Biztonsági kutatók azonosították ezt a technikát, amely megkerüli a helykiosztás, az engedélybeállítások vagy a szál inicializálásának szükségességét az injektálás során. A The Hacker News-szal megosztott jelentésük szerint a Mockingjay sajátossága abban rejlik, hogy egy sebezhető DLL-re támaszkodik, és a kód pontos elhelyezése a megfelelő részben.
Tartalomjegyzék
Mi az a folyamatinjektálás?
A folyamatinjektálás egy technikai rosszindulatú program, amellyel a rosszindulatú szereplők kódot illesztenek be és hajtanak végre a számítógépen futó legitim folyamat memóriájába. A beszúrt kód általában jogosulatlan hozzáférést biztosít, vagy káros műveleteket hajt végre a megcélzott folyamaton belül, gyakran a biztonsági intézkedések megkerülését és észrevétlen maradását célozva. A folyamatinjektálási technikák kihasználják az operációs rendszer vagy az alkalmazások sebezhetőségeit vagy gyengeségeit, hogy átvegyék az irányítást egy folyamat felett, és manipulálják annak viselkedését. A szabványos folyamatinjektálási módszerek közé tartozik a DLL, a kód és a folyamatüregelés.
A folyamatinjektálási technikák sokfélék, és különféle módszereket foglalnak magukban, amelyeket a rosszindulatú programok vagy a rosszul orientált szereplők alkalmaznak a kód törvényes folyamatokba való beillesztésére. Néhány kiemelkedő folyamat-injektálási technika közé tartozik a DLL-befecskendezés, amikor egy kompromittált DLL-t betöltenek a célfolyamatba; hordozható végrehajtható injekció, amely magában foglalja a kód beszúrását egy külön végrehajtható fájlból; szálvégrehajtás-eltérítés, ahol egy legitim szál végrehajtási folyamatát egy rossz kódra irányítják át; process hollowing, ahol egy legitim folyamat jön létre, majd helyébe rossz kód kerül; és a process doppelgänging, amely magában foglalja a fájlrendszer és a folyamatattribútumok manipulálását egy nem biztonságos folyamat létrehozása érdekében.
Mindegyik technika meghatározott rendszerhívásokra és Windows API-kra támaszkodik az injekció végrehajtásához, lehetővé téve a védők számára, hogy hatékony észlelési és csökkentési stratégiákat dolgozzanak ki. Ezen injekciós módszerek mögött meghúzódó mechanizmusok megértésével a biztonsági szakemberek megfelelő ellenintézkedéseket és védelmi rendszereket dolgozhatnak ki az ilyen támadások ellen.
A Mockingjay egyedi vonásai
A Mockingjay a hagyományos biztonsági intézkedések megkerülésével különbözteti meg magát azáltal, hogy ügyesen használja fel a meglévő Windows hordozható futtatható fájlokat egy olvasási-írási-végrehajtási (RWX) engedélyekkel védett memóriablokk segítségével. Ez az innovatív megközelítés szükségtelenné teszi a rendszerint biztonsági megoldások által felügyelt, felügyelt Windows API-k aktiválását. A jelentős, 16 KB szabad RWX-területet kínáló msys-2.0.dll kihasználásával a Mockingjay hatékonyan elrejti a nem biztonságos kódot, és rejtetten működik. Elengedhetetlen, hogy elismerjük más, hasonló attribútumokkal rendelkező, sebezhető DLL-ek létezését.
A Mockingjay két különböző módszert alkalmaz; önbefecskendezés és távoli folyamatinjektálás a kódbefecskendezés megkönnyítése érdekében, ami fokozott támadási hatékonyságot és az észlelés elkerülését eredményezi. Az önbefecskendezési technika magában foglalja a sérülékeny DLL közvetlen betöltését egy egyéni alkalmazás címterébe, lehetővé téve a kívánt kód végrehajtását az RWX szakaszon keresztül. Másrészt a távoli folyamatinjektálás a sebezhető DLL-ben lévő RWX szakaszt használja fel a folyamatinjektálás végrehajtására egy távoli folyamatban, például az ssh.exe fájlban. Ezek a stratégiák lehetővé teszik Mockingjay számára, hogy lopva manipulálja a kódvégrehajtást, lehetővé téve a fenyegetés szereplői számára, hogy kikerüljék az észlelési intézkedéseket.
Kihívás a végpontészlelő és -válaszrendszerek (EDR) számára
A hagyományos megközelítésekkel ellentétben ez az innovatív stratégia kiküszöböli a memóriafoglalás, az engedélyek beállításának vagy a szál létrehozásának szükségességét a célfolyamatban a beinjektált kód végrehajtásának elindításához. A kutatók kiemelték, hogy ez az egyedülálló funkció jelentős kihívást jelent a végpontészlelési és válaszadási (EDR) rendszerek számára, mivel eltér azoktól a tipikus mintáktól, amelyeket észlelniük kellene. Ezek az eredmények a ClickOnce névre keresztelt legitim Visual Studio telepítési technológiát hasznosító módszer újabb feltárása után születtek. Ez a módszer lehetővé teszi a fenyegetés szereplői számára, hogy tetszőleges kódvégrehajtást érjenek el, és kezdeti hozzáférést kapjanak, hangsúlyozva a kifinomult támadási technikák fejlődő környezetét.