„Mockingjay“ proceso įpurškimo technika buvo atskleista kaip sunkus būdas kenkėjiškoms programoms išvengti aptikimo
Atsirado pažangiausia proceso įpurškimo technika, vadinama „Mockingjay“, suteikianti galimybę grėsmės veikėjams išvengti saugumo priemonių ir vykdyti sugadintą kodą pažeistose sistemose. Saugumo tyrinėtojai nustatė šią techniką, kuri apeina erdvės paskirstymo, leidimo nustatymų ar gijų inicijavimo poreikį injekcijos metu. Remiantis jų ataskaita, pasidalinta su „The Hacker News“, „Mockingjay“ išskirtinumas slypi jo priklausomybėje nuo pažeidžiamo DLL ir tikslaus kodo įdėjimo į atitinkamą skyrių.
Turinys
Kas yra proceso injekcija?
Proceso įpurškimas yra techninė kenkėjiška programa, kurią piktadariai naudoja norėdami įterpti ir vykdyti kodą teisėto proceso, vykdomo kompiuteryje, atminties erdvėje. Įvestas kodas paprastai suteikia neteisėtą prieigą arba atlieka žalingus veiksmus tiksliniame procese, dažnai siekdamas apeiti saugos priemones ir likti nepastebėtas. Proceso įpurškimo metodai išnaudoja operacinės sistemos ar programų pažeidžiamumą arba silpnąsias vietas, kad galėtų valdyti procesą ir manipuliuoti jo elgesiu. Standartiniai proceso įterpimo metodai apima DLL, kodą ir proceso tuščiavidurį.
Proceso įterpimo metodai yra įvairūs ir apima įvairius metodus, kuriuos naudoja kenkėjiškos programos arba netinkamai orientuoti veikėjai, norėdami įterpti kodą į teisėtus procesus. Kai kurie žinomi proceso įterpimo būdai apima DLL įterpimą, kai pažeistas DLL įkeliamas į tikslinį procesą; nešiojamasis vykdomasis įterpimas, kuris apima kodo įvedimą iš atskiro vykdomojo failo; gijos vykdymo užgrobimas, kai teisėtos gijos vykdymo srautas nukreipiamas į blogą kodą; proceso tuščiaviduris, kai sukuriamas teisėtas procesas ir pakeičiamas blogu kodu; ir proceso dubliavimą, kuris apima manipuliavimą failų sistema ir proceso atributais, kad būtų sukurtas nesaugus procesas.
Kiekviena technika priklauso nuo konkrečių sistemos iškvietimų ir „Windows“ API, kad būtų atlikta injekcija, todėl gynėjai gali sukurti veiksmingas aptikimo ir mažinimo strategijas. Suprasdami pagrindinius šių įpurškimo metodų mechanizmus, saugumo specialistai gali sukurti tinkamas atsakomąsias priemones ir apsaugos sistemas nuo tokių atakų.
Unikalūs Mockingjay bruožai
„Mockingjay“ išsiskiria apeidama tradicines saugos priemones, sumaniai panaudodama esamus „Windows“ nešiojamus vykdomuosius failus su atminties bloku, apsaugotu skaitymo-rašymo-vykdymo (RWX) leidimais. Šis naujoviškas metodas pašalina poreikį suaktyvinti stebimas „Windows“ API, kurias paprastai stebi saugos sprendimai. Naudodamas msys-2.0.dll, kuris siūlo didelę 16 KB laisvos RWX vietos, Mockingjay veiksmingai slepia nesaugų kodą ir veikia slaptai. Labai svarbu pripažinti, kad gali būti kitų pažeidžiamų DLL su panašiais atributais.
Mockingjay naudoja du skirtingus metodus; savaiminis įpurškimas ir nuotolinis proceso įpurškimas, siekiant palengvinti kodo įvedimą, todėl padidėja atakų efektyvumas ir išvengiama aptikimo. Savaiminio įpurškimo metodas apima tiesioginį pažeidžiamo DLL įkėlimą į pasirinktinės programos adresų erdvę, leidžiančią vykdyti norimą kodą per RWX skyrių. Kita vertus, nuotolinio proceso įterpimas naudoja RWX skyrių pažeidžiamoje DLL, kad būtų galima atlikti proceso įterpimą nuotoliniame procese, pvz., ssh.exe. Šios strategijos leidžia Mockingjay slaptai manipuliuoti kodo vykdymu, o grėsmės veikėjai gali išvengti aptikimo priemonių.
Iššūkis galutinių taškų aptikimo ir atsako (EDR) sistemoms
Skirtingai nuo tradicinių metodų, ši naujoviška strategija pašalina atminties paskirstymo, leidimo nustatymo ar gijų kūrimo poreikį tiksliniame procese, kad būtų pradėtas įterpto kodo vykdymas. Tyrėjai pabrėžė, kad ši unikali savybė kelia didelį iššūkį galutinio taško aptikimo ir atsako (EDR) sistemoms, nes ji nukrypsta nuo įprastų modelių, kuriuos jos turėtų aptikti. Šios išvados atsiranda po kito neseniai atskleisto metodo, naudojančio teisėtą Visual Studio diegimo technologiją, vadinamą ClickOnce. Šis metodas leidžia grėsmės veikėjams pasiekti savavališką kodo vykdymą ir gauti pradinę prieigą, pabrėžiant besivystančią sudėtingų atakų technikų aplinką.