Mockingjay-prosessinjeksjonsteknikken avduket som en unnvikende metode for skadelig programvare for å unngå deteksjon
En banebrytende prosessinjeksjonsteknikk kalt Mockingjay har dukket opp, og presenterer en potensiell mulighet for trusselaktører til å unngå sikkerhetstiltak og utføre en korrupt kode på kompromitterte systemer. Sikkerhetsforskere har identifisert denne teknikken, som omgår behovet for plasstildeling, tillatelsesinnstillinger eller trådinitialisering under injeksjonen. I følge rapporten deres delt med The Hacker News, ligger Mockingjays særpreg i dens avhengighet av en sårbar DLL og den nøyaktige plasseringen av kode innenfor den aktuelle delen.
Innholdsfortegnelse
Hva er en prosessinjeksjon?
Prosessinjeksjon er en teknisk skadelig programvare som ondsinnede aktører bruker til å sette inn og utføre kode i minneplassen til en legitim prosess som kjører på en datamaskin. Den injiserte koden gir vanligvis uautorisert tilgang eller utfører skadelige handlinger innenfor den målrettede prosessen, ofte med sikte på å omgå sikkerhetstiltak og forbli uoppdaget. Prosessinjeksjonsteknikker utnytter sårbarheter eller svakheter i operativsystemet eller applikasjonene for å få kontroll over en prosess og manipulere dens oppførsel. Standard prosessinjeksjonsmetoder inkluderer DLL, kode og prosessuthulling.
Teknikker for prosessinjeksjon er mangfoldige og omfatter ulike metoder som skadevare eller dårlig orienterte aktører bruker for å injisere kode i legitime prosesser. Noen fremtredende prosessinjeksjonsteknikker inkluderer DLL-injeksjon, der en kompromittert DLL lastes inn i en målprosess; bærbar kjørbar injeksjon, som innebærer å injisere kode fra en separat kjørbar fil; kapring av trådutførelse, der utførelsesflyten til en legitim tråd omdirigeres til en dårlig kode; prosessuthuling, der en legitim prosess opprettes og deretter erstattes med dårlig kode; og prosessdoppelgänging, som innebærer å manipulere filsystemet og prosessattributter for å skape en usikker prosess.
Hver teknikk er avhengig av spesifikke systemanrop og Windows APIer for å utføre injeksjonen, noe som gjør det mulig for forsvarere å utvikle effektive deteksjons- og reduseringsstrategier. Ved å forstå de underliggende mekanismene til disse injeksjonsmetodene, kan sikkerhetseksperter utarbeide passende mottiltak og beskytte systemer mot slike angrep.
De unike egenskapene til Mockingjay
Mockingjay skiller seg ut ved å omgå tradisjonelle sikkerhetstiltak ved å smart utnytte eksisterende bærbare Windows-kjørbare filer med en minneblokk beskyttet med Read-Write-Execute (RWX) tillatelser. Denne innovative tilnærmingen eliminerer behovet for å utløse overvåkede Windows APIer som vanligvis overvåkes av sikkerhetsløsninger. Ved å utnytte msys-2.0.dll, som tilbyr betydelige 16 KB tilgjengelig RWX-plass, skjuler Mockingjay effektivt usikker kode og opererer skjult. Det er viktig å erkjenne den potensielle eksistensen av andre sårbare DLL-er med lignende attributter.
Mockingjay bruker to forskjellige metoder; selvinjeksjon, og ekstern prosessinjeksjon, for å lette kodeinjeksjon, noe som resulterer i forbedret angrepseffektivitet og unndragelse av deteksjon. Selvinjeksjonsteknikken innebærer å laste den sårbare DLL-filen direkte inn i adresseområdet til en tilpasset applikasjon, noe som muliggjør kjøring av ønsket kode via RWX-delen. På den annen side bruker den eksterne prosessinjeksjonen RWX-delen i den sårbare DLL-en for å utføre prosessinjeksjon i en ekstern prosess som ssh.exe. Disse strategiene gjør det mulig for Mockingjay å manipulere kodeutførelse snikende, slik at trusselaktører kan unngå oppdagelsestiltak.
En utfordring for endepunktdeteksjons- og responssystemer (EDR).
I motsetning til tradisjonelle tilnærminger, eliminerer denne innovative strategien behovet for minneallokering, tillatelsesinnstilling eller trådoppretting i målprosessen for å starte kjøringen av injisert kode. Forskerne fremhevet at denne unike funksjonen utgjør en betydelig utfordring for Endpoint Detection and Response (EDR)-systemer, siden den avviker fra de typiske mønstrene de bør oppdage. Disse funnene dukker opp etter en ny avsløring av en metode som utnytter den legitime Visual Studio-implementeringsteknologien kalt ClickOnce. Denne metoden gjør det mulig for trusselaktører å oppnå vilkårlig kodekjøring og få førstegangstilgang, og understreker det utviklende landskapet med sofistikerte angrepsteknikker.