La tecnica di iniezione del processo Mockingjay svelata come un metodo elusivo per il malware per eludere il rilevamento
È emersa una tecnica di iniezione di processo all'avanguardia chiamata Mockingjay, che presenta una potenziale via per gli attori delle minacce per eludere le misure di sicurezza ed eseguire un codice danneggiato su sistemi compromessi. I ricercatori di sicurezza hanno identificato questa tecnica, che elude la necessità di allocazione dello spazio, impostazioni di autorizzazione o inizializzazione del thread durante l'iniezione. Secondo il loro rapporto condiviso con The Hacker News, il carattere distintivo di Mockingjay risiede nella sua dipendenza da una DLL vulnerabile e nel posizionamento preciso del codice all'interno della sezione appropriata.
Sommario
Cos'è un'iniezione di processo?
L'iniezione di processo è un malware tecnico, che gli attori malvagi utilizzano per inserire ed eseguire codice all'interno dello spazio di memoria di un processo legittimo in esecuzione su un computer. Il codice inserito in genere concede l'accesso non autorizzato o esegue azioni dannose all'interno del processo mirato, spesso con l'obiettivo di aggirare le misure di sicurezza e non essere rilevato. Le tecniche di process injection sfruttano le vulnerabilità o le debolezze del sistema operativo o delle applicazioni per ottenere il controllo su un processo e manipolarne il comportamento. I metodi standard di process injection includono DLL, codice e process hollowing.
Le tecniche di process injection sono diverse e comprendono vari metodi che malware o attori mal orientati impiegano per inserire codice in processi legittimi. Alcune tecniche di iniezione di processi importanti includono l'iniezione di DLL, in cui una DLL compromessa viene caricata in un processo di destinazione; portable executable injection, che comporta l'iniezione di codice da un file eseguibile separato; dirottamento dell'esecuzione del thread, in cui il flusso di esecuzione di un thread legittimo viene reindirizzato a un codice errato; svuotamento del processo, in cui viene creato un processo legittimo e quindi sostituito con codice errato; e process doppelgänging, che implica la manipolazione del file system e degli attributi del processo per creare un processo non sicuro.
Ogni tecnica si basa su specifiche chiamate di sistema e API di Windows per eseguire l'iniezione, consentendo ai difensori di sviluppare efficaci strategie di rilevamento e mitigazione. Comprendendo i meccanismi alla base di questi metodi di iniezione, i professionisti della sicurezza possono ideare contromisure appropriate e sistemi di salvaguardia contro tali attacchi.
I tratti unici di Mockingjay
Mockingjay si distingue aggirando le tradizionali misure di sicurezza utilizzando in modo intelligente i file eseguibili portatili di Windows esistenti con un blocco di memoria protetto con autorizzazioni Read-Write-Execute (RWX). Questo approccio innovativo elimina la necessità di attivare le API di Windows monitorate in genere monitorate dalle soluzioni di sicurezza. Sfruttando msys-2.0.dll, che offre ben 16 KB di spazio RWX disponibile, Mockingjay nasconde efficacemente il codice non sicuro e opera di nascosto. Riconoscere la potenziale esistenza di altre DLL vulnerabili con attributi simili è essenziale.
Mockingjay utilizza due metodi distinti; auto-iniezione e iniezione di processi remoti, per facilitare l'iniezione di codice, con conseguente maggiore efficacia dell'attacco ed evasione del rilevamento. La tecnica di autoiniezione comporta il caricamento diretto della DLL vulnerabile nello spazio degli indirizzi di un'applicazione personalizzata, consentendo l'esecuzione del codice desiderato tramite la sezione RWX. D'altra parte, l'iniezione di processo remoto utilizza la sezione RWX all'interno della DLL vulnerabile per eseguire l'iniezione di processo in un processo remoto come ssh.exe. Queste strategie consentono a Mockingjay di manipolare furtivamente l'esecuzione del codice, consentendo agli attori delle minacce di eludere le misure di rilevamento.
Una sfida per i sistemi di rilevamento e risposta degli endpoint (EDR).
A differenza degli approcci tradizionali, questa strategia innovativa elimina la necessità di allocazione della memoria, impostazione delle autorizzazioni o creazione di thread all'interno del processo di destinazione per avviare l'esecuzione del codice inserito. I ricercatori hanno evidenziato che questa caratteristica unica rappresenta una sfida significativa per i sistemi di rilevamento e risposta degli endpoint (EDR), poiché si discosta dai modelli tipici che dovrebbero rilevare. Questi risultati emergono dopo un'altra recente rivelazione di un metodo che sfrutta la legittima tecnologia di distribuzione di Visual Studio chiamata ClickOnce. Questo metodo consente agli attori delle minacce di ottenere l'esecuzione di codice arbitrario e ottenere l'accesso iniziale, sottolineando il panorama in evoluzione di sofisticate tecniche di attacco.