Teknik Suntikan Proses Mockingjay Didedahkan sebagai Kaedah Sukar untuk Perisian Hasad Mengelak Pengesanan
Teknik suntikan proses canggih yang dipanggil Mockingjay telah muncul, memberikan peluang yang berpotensi untuk pelaku ancaman untuk mengelakkan langkah keselamatan dan melaksanakan kod yang rosak pada sistem yang terjejas. Penyelidik keselamatan telah mengenal pasti teknik ini, yang mengelakkan keperluan untuk peruntukan ruang, tetapan kebenaran, atau permulaan benang semasa suntikan. Menurut laporan mereka yang dikongsi dengan The Hacker News, keistimewaan Mockingjay terletak pada pergantungannya pada DLL yang terdedah dan penempatan kod yang tepat dalam bahagian yang sesuai.
Isi kandungan
Apakah Suntikan Proses?
Suntikan proses ialah perisian hasad teknikal, yang digunakan oleh pelakon yang berfikiran jahat untuk memasukkan dan melaksanakan kod dalam ruang memori proses yang sah yang dijalankan pada komputer. Kod yang disuntik biasanya memberikan akses tanpa kebenaran atau melakukan tindakan berbahaya dalam proses yang disasarkan, selalunya bertujuan untuk memintas langkah keselamatan dan kekal tidak dapat dikesan. Teknik suntikan proses mengeksploitasi kelemahan atau kelemahan dalam sistem pengendalian atau aplikasi untuk mendapatkan kawalan ke atas proses dan memanipulasi kelakuannya. Kaedah suntikan proses standard termasuk DLL, kod, dan proses hollowing.
Teknik suntikan proses adalah pelbagai dan merangkumi pelbagai kaedah yang digunakan oleh perisian hasad atau pelakon yang tidak berorientasikan untuk menyuntik kod ke dalam proses yang sah. Beberapa teknik suntikan proses yang terkenal termasuk suntikan DLL, di mana DLL yang terjejas dimuatkan ke dalam proses sasaran; suntikan boleh laku mudah alih, yang melibatkan kod suntikan daripada fail boleh laku yang berasingan; rampasan pelaksanaan benang, di mana aliran pelaksanaan benang yang sah dialihkan kepada kod buruk; proses hollowing, di mana proses yang sah dibuat dan kemudian digantikan dengan kod buruk; dan proses doppelgänging, yang melibatkan memanipulasi sistem fail dan atribut proses untuk mencipta proses yang tidak selamat.
Setiap teknik bergantung pada panggilan sistem tertentu dan API Windows untuk melaksanakan suntikan, membolehkan pembela membangunkan strategi pengesanan dan mitigasi yang berkesan. Dengan memahami mekanisme asas kaedah suntikan ini, profesional keselamatan boleh merangka tindakan balas yang sesuai dan sistem perlindungan terhadap serangan sedemikian.
Ciri-ciri Unik Mockingjay
Mockingjay membezakan dirinya dengan memintas langkah keselamatan tradisional dengan bijak menggunakan fail boleh laku mudah alih Windows sedia ada dengan blok memori yang dilindungi dengan kebenaran Baca-Tulis-Lakukan (RWX). Pendekatan inovatif ini menghapuskan keperluan untuk mencetuskan API Windows yang dipantau yang biasanya dipantau oleh penyelesaian keselamatan. Dengan memanfaatkan msys-2.0.dll, yang menawarkan 16 KB ruang RWX yang tersedia, Mockingjay dengan berkesan menyembunyikan kod yang tidak selamat dan beroperasi secara rahsia. Mengakui potensi kewujudan DLL lain yang terdedah dengan atribut serupa adalah penting.
Mockingjay menggunakan dua kaedah yang berbeza; suntikan diri, dan suntikan proses jauh, untuk memudahkan suntikan kod, menghasilkan keberkesanan serangan yang dipertingkatkan dan pengelakan pengesanan. Teknik suntikan sendiri melibatkan pemuatan terus DLL yang terdedah ke dalam ruang alamat aplikasi tersuai, membolehkan pelaksanaan kod yang dikehendaki melalui bahagian RWX. Sebaliknya, suntikan proses jauh menggunakan bahagian RWX dalam DLL yang terdedah untuk melakukan suntikan proses dalam proses jauh seperti ssh.exe. Strategi ini membolehkan Mockingjay memanipulasi pelaksanaan kod secara senyap-senyap, membolehkan pelaku ancaman mengelak langkah pengesanan.
Cabaran untuk Sistem Pengesanan dan Tindak Balas Titik Akhir (EDR).
Tidak seperti pendekatan tradisional, strategi inovatif ini menghapuskan keperluan untuk peruntukan memori, tetapan kebenaran atau penciptaan benang dalam proses sasaran untuk memulakan pelaksanaan kod yang disuntik. Para penyelidik menyerlahkan bahawa ciri unik ini menimbulkan cabaran yang ketara untuk sistem Pengesanan dan Tindak Balas Titik Akhir (EDR), kerana ia menyimpang daripada corak biasa yang harus dikesan. Penemuan ini muncul selepas satu lagi pendedahan terbaru tentang kaedah yang memanfaatkan teknologi penggunaan Visual Studio yang sah yang dipanggil ClickOnce. Kaedah ini membolehkan pelaku ancaman mencapai pelaksanaan kod sewenang-wenangnya dan mendapat akses awal, menekankan landskap berkembang teknik serangan yang canggih.