Mockingjay procesa injekcijas tehnika tika atklāta kā nenotverama metode ļaunprātīgai programmatūrai, lai izvairītos no atklāšanas
Ir parādījusies visprogresīvākā procesa ievadīšanas tehnika, ko sauc par Mockingjay, kas rada potenciālu iespēju apdraudējuma dalībniekiem izvairīties no drošības pasākumiem un izpildīt bojātu kodu kompromitētās sistēmās. Drošības pētnieki ir identificējuši šo paņēmienu, kas apiet vajadzību pēc vietas piešķiršanas, atļauju iestatījumiem vai pavedienu inicializācijas injekcijas laikā. Saskaņā ar viņu ziņojumu, kas kopīgots ar The Hacker News, Mockingjay atšķirīgā iezīme ir tā paļaušanās uz neaizsargātu DLL un precīza koda izvietošana attiecīgajā sadaļā.
Satura rādītājs
Kas ir procesa injekcija?
Procesa ievadīšana ir tehniska ļaunprātīga programmatūra, ko ļauni domājoši dalībnieki izmanto, lai ievietotu un izpildītu kodu datorā notiekoša likumīga procesa atmiņas telpā. Ievadītais kods parasti nodrošina nesankcionētu piekļuvi vai veic kaitīgas darbības mērķa procesā, bieži vien cenšoties apiet drošības pasākumus un palikt neatklātam. Procesu ievadīšanas metodes izmanto operētājsistēmas vai lietojumprogrammu ievainojamības vai vājās vietas, lai iegūtu kontroli pār procesu un manipulētu ar tā uzvedību. Standarta procesa ievadīšanas metodes ietver DLL, kodu un procesa dobumu.
Procesu ievadīšanas metodes ir dažādas un ietver dažādas metodes, ko ļaunprātīga programmatūra vai slikti orientēti dalībnieki izmanto, lai ievadītu kodu likumīgos procesos. Dažas ievērojamas procesa ievadīšanas metodes ietver DLL ievadīšanu, kad apdraudētais DLL tiek ielādēts mērķa procesā; pārnēsājama izpildāmā injekcija, kas ietver koda ievadīšanu no atsevišķa izpildāmā faila; pavediena izpildes nolaupīšana, kur likumīga pavediena izpildes plūsma tiek novirzīta uz sliktu kodu; process hollowing, kur tiek izveidots likumīgs process un pēc tam aizstāts ar sliktu kodu; un procesa dublēšana, kas ietver manipulēšanu ar failu sistēmu un procesa atribūtiem, lai izveidotu nedrošu procesu.
Katra tehnika ir atkarīga no noteiktiem sistēmas izsaukumiem un Windows API, lai veiktu injekciju, ļaujot aizstāvjiem izstrādāt efektīvas noteikšanas un mazināšanas stratēģijas. Izprotot šo injekcijas metožu pamatā esošos mehānismus, drošības speciālisti var izstrādāt atbilstošus pretpasākumus un aizsardzības sistēmas pret šādiem uzbrukumiem.
Mockingjay unikālās iezīmes
Mockingjay izceļas, apejot tradicionālos drošības pasākumus, gudri izmantojot esošos Windows portatīvos izpildāmos failus ar atmiņas bloku, kas aizsargāts ar lasīšanas-rakstīšanas-izpildīšanas (RWX) atļaujām. Šī novatoriskā pieeja novērš nepieciešamību aktivizēt uzraudzītas Windows API, ko parasti uzrauga drošības risinājumi. Izmantojot msys-2.0.dll, kas piedāvā ievērojamu 16 KB pieejamo RWX vietu, Mockingjay efektīvi slēpj nedrošu kodu un darbojas slēpti. Ir svarīgi atzīt citu neaizsargātu DLL ar līdzīgiem atribūtiem iespējamo esamību.
Mockingjay izmanto divas atšķirīgas metodes; pašinjicēšana un attālā procesa injekcija, lai atvieglotu koda ievadīšanu, tādējādi uzlabojot uzbrukuma efektivitāti un izvairīšanos no atklāšanas. Pašinjekcijas paņēmiens ietver tiešu ievainojamā DLL ielādi pielāgotas lietojumprogrammas adrešu telpā, ļaujot izpildīt vēlamo kodu, izmantojot RWX sadaļu. No otras puses, attālā procesa ievadīšana izmanto RWX sadaļu ievainojamajā DLL, lai veiktu procesa ievadīšanu attālā procesā, piemēram, ssh.exe. Šīs stratēģijas ļauj Mockingjay slepeni manipulēt ar koda izpildi, ļaujot apdraudējuma dalībniekiem izvairīties no atklāšanas pasākumiem.
Izaicinājums galapunktu noteikšanas un reaģēšanas (EDR) sistēmām
Atšķirībā no tradicionālajām pieejām šī novatoriskā stratēģija novērš vajadzību pēc atmiņas piešķiršanas, atļauju iestatīšanas vai pavedienu izveides mērķa procesā, lai uzsāktu ievadītā koda izpildi. Pētnieki uzsvēra, ka šī unikālā funkcija rada ievērojamu izaicinājumu galapunktu noteikšanas un atbildes (EDR) sistēmām, jo tā atšķiras no tipiskajiem modeļiem, kas tiem būtu jāatklāj. Šie atklājumi parādās pēc kārtējā nesenā atklājuma par metodi, kas izmanto likumīgo Visual Studio izvietošanas tehnoloģiju, ko sauc par ClickOnce. Šī metode ļauj apdraudējuma dalībniekiem panākt patvaļīgu koda izpildi un iegūt sākotnējo piekļuvi, uzsverot sarežģītu uzbrukuma metožu attīstības ainavu.