De Mockingjay Process Injection-techniek onthuld als een ongrijpbare methode voor malware om detectie te omzeilen
Er is een geavanceerde procesinjectietechniek genaamd Mockingjay ontstaan, die een potentiële manier biedt voor bedreigingsactoren om beveiligingsmaatregelen te omzeilen en een beschadigde code uit te voeren op gecompromitteerde systemen. Beveiligingsonderzoekers hebben deze techniek geïdentificeerd, die de noodzaak van ruimtetoewijzing, machtigingsinstellingen of thread-initialisatie tijdens de injectie omzeilt. Volgens hun rapport gedeeld met The Hacker News, ligt het onderscheidende vermogen van Mockingjay in zijn afhankelijkheid van een kwetsbare DLL en de precieze plaatsing van code in de juiste sectie.
Inhoudsopgave
Wat is een procesinjectie?
Procesinjectie is technische malware die kwaadaardige actoren gebruiken om code in te voegen en uit te voeren in de geheugenruimte van een legitiem proces dat op een computer draait. De geïnjecteerde code verleent meestal ongeoorloofde toegang of voert schadelijke acties uit binnen het beoogde proces, vaak met als doel beveiligingsmaatregelen te omzeilen en onopgemerkt te blijven. Procesinjectietechnieken maken gebruik van kwetsbaarheden of zwakheden in het besturingssysteem of applicaties om controle over een proces te krijgen en het gedrag ervan te manipuleren. Standaard methoden voor procesinjectie omvatten DLL, code en procesuitholling.
Procesinjectietechnieken zijn divers en omvatten verschillende methoden die malware of slecht georiënteerde actoren gebruiken om code in legitieme processen te injecteren. Enkele prominente technieken voor procesinjectie zijn onder meer DLL-injectie, waarbij een gecompromitteerde DLL in een doelproces wordt geladen; draagbare uitvoerbare injectie, waarbij code wordt geïnjecteerd vanuit een apart uitvoerbaar bestand; thread-uitvoeringskaping, waarbij de uitvoeringsstroom van een legitieme thread wordt omgeleid naar een slechte code; procesuitholling, waarbij een legitiem proces wordt gecreëerd en vervolgens wordt vervangen door slechte code; en dubbelgang van processen, waarbij het bestandssysteem en procesattributen worden gemanipuleerd om een onveilig proces te creëren.
Elke techniek is afhankelijk van specifieke systeemaanroepen en Windows API's om de injectie uit te voeren, waardoor verdedigers effectieve detectie- en beperkingsstrategieën kunnen ontwikkelen. Door de onderliggende mechanismen van deze injectiemethoden te begrijpen, kunnen beveiligingsprofessionals passende tegenmaatregelen bedenken en systemen beschermen tegen dergelijke aanvallen.
De unieke eigenschappen van Spotgaai
Mockingjay onderscheidt zich door traditionele beveiligingsmaatregelen te omzeilen door slim gebruik te maken van bestaande draagbare Windows-uitvoerbare bestanden met een geheugenblok dat is beveiligd met Read-Write-Execute (RWX)-machtigingen. Deze innovatieve aanpak elimineert de noodzaak om bewaakte Windows API's te activeren die doorgaans worden bewaakt door beveiligingsoplossingen. Door gebruik te maken van msys-2.0.dll, dat een substantiële 16 KB beschikbare RWX-ruimte biedt, verbergt Mockingjay effectief onveilige code en werkt het heimelijk. Het erkennen van het mogelijke bestaan van andere kwetsbare DLL's met vergelijkbare kenmerken is essentieel.
Mockingjay gebruikt twee verschillende methoden; zelfinjectie en procesinjectie op afstand om code-injectie te vergemakkelijken, wat resulteert in verbeterde aanvalseffectiviteit en ontduiking van detectie. Bij de zelfinjectietechniek wordt de kwetsbare DLL rechtstreeks in de adresruimte van een aangepaste toepassing geladen, waardoor de gewenste code via de RWX-sectie kan worden uitgevoerd. Aan de andere kant gebruikt de externe procesinjectie de RWX-sectie binnen de kwetsbare DLL om procesinjectie uit te voeren in een extern proces zoals ssh.exe. Deze strategieën stellen Mockingjay in staat om code-uitvoering heimelijk te manipuleren, waardoor bedreigingsactoren detectiemaatregelen kunnen omzeilen.
Een uitdaging voor Endpoint Detection and Response (EDR)-systemen
In tegenstelling tot traditionele benaderingen, elimineert deze innovatieve strategie de noodzaak van geheugentoewijzing, het instellen van machtigingen of het maken van threads binnen het doelproces om de uitvoering van geïnjecteerde code te initiëren. De onderzoekers benadrukten dat deze unieke functie een grote uitdaging vormt voor Endpoint Detection and Response (EDR)-systemen, omdat het afwijkt van de typische patronen die ze zouden moeten detecteren. Deze bevindingen komen naar voren na een andere recente onthulling van een methode die gebruikmaakt van de legitieme Visual Studio-implementatietechnologie genaamd ClickOnce. Deze methode stelt bedreigingsactoren in staat om willekeurige code uit te voeren en initiële toegang te krijgen, waarbij de nadruk wordt gelegd op het evoluerende landschap van geavanceerde aanvalstechnieken.