Technika wstrzykiwania procesu Kosogłos ujawniona jako nieuchwytna metoda unikania wykrycia przez złośliwe oprogramowanie
Pojawiła się najnowocześniejsza technika wstrzykiwania procesów o nazwie Kosogłos, która stwarza cyberprzestępcom potencjalną drogę do obejścia środków bezpieczeństwa i wykonania uszkodzonego kodu w zaatakowanych systemach. Badacze bezpieczeństwa zidentyfikowali tę technikę, która omija potrzebę alokacji przestrzeni, ustawień uprawnień lub inicjalizacji wątku podczas wstrzykiwania. Według ich raportu udostępnionego The Hacker News, odrębność Kosogłosa polega na tym, że opiera się na podatnej na ataki bibliotece DLL i precyzyjnym umieszczeniu kodu w odpowiedniej sekcji.
Spis treści
Co to jest iniekcja procesowa?
Wstrzyknięcie procesu to techniczne złośliwe oprogramowanie, którego złośliwi aktorzy używają do wstawiania i wykonywania kodu w przestrzeni pamięci legalnego procesu działającego na komputerze. Wstrzyknięty kod zazwyczaj zapewnia nieautoryzowany dostęp lub wykonuje szkodliwe działania w docelowym procesie, często mając na celu ominięcie środków bezpieczeństwa i pozostanie niewykrytym. Techniki wstrzykiwania procesów wykorzystują luki lub słabości w systemie operacyjnym lub aplikacjach, aby przejąć kontrolę nad procesem i manipulować jego zachowaniem. Standardowe metody wstrzykiwania procesów obejmują DLL, kod i drążenie procesu.
Techniki wstrzykiwania procesów są różnorodne i obejmują różne metody wykorzystywane przez złośliwe oprogramowanie lub źle zorientowanych aktorów do wstrzykiwania kodu do legalnych procesów. Niektóre znane techniki wstrzykiwania procesów obejmują wstrzykiwanie bibliotek DLL, w których uszkodzona biblioteka DLL jest ładowana do procesu docelowego; przenośne wstrzyknięcie pliku wykonywalnego, które polega na wstrzyknięciu kodu z oddzielnego pliku wykonywalnego; przejmowanie wykonywania wątków, gdzie przepływ wykonywania legalnego wątku jest przekierowywany do złego kodu; drążenie procesu, w którym tworzony jest prawidłowy proces, a następnie zastępowany złym kodem; oraz proces doppelgänging, który polega na manipulowaniu systemem plików i atrybutami procesu w celu stworzenia niebezpiecznego procesu.
Każda technika opiera się na określonych wywołaniach systemowych i interfejsach API systemu Windows w celu wykonania wstrzyknięcia, umożliwiając obrońcom opracowanie skutecznych strategii wykrywania i łagodzenia skutków. Dzięki zrozumieniu mechanizmów leżących u podstaw tych metod wstrzykiwania, specjaliści ds. bezpieczeństwa mogą opracować odpowiednie środki zaradcze i zabezpieczyć systemy przed takimi atakami.
Unikalne cechy Kosogłosa
Kosogłos wyróżnia się dzięki obchodzeniu tradycyjnych środków bezpieczeństwa poprzez sprytne wykorzystanie istniejących przenośnych plików wykonywalnych systemu Windows z blokiem pamięci chronionym uprawnieniami do odczytu, zapisu i wykonania (RWX). To innowacyjne podejście eliminuje konieczność wyzwalania monitorowanych interfejsów API systemu Windows, zwykle monitorowanych przez rozwiązania zabezpieczające. Wykorzystując msys-2.0.dll, który oferuje znaczne 16 KB dostępnej przestrzeni RWX, Kosogłos skutecznie ukrywa niebezpieczny kod i działa potajemnie. Niezbędne jest uznanie potencjalnego istnienia innych wrażliwych bibliotek DLL o podobnych atrybutach.
Kosogłos stosuje dwie różne metody; samowstrzykiwanie i zdalne wstrzykiwanie procesów w celu ułatwienia wstrzykiwania kodu, co skutkuje zwiększoną skutecznością ataku i unikaniem wykrycia. Technika samowstrzykiwania polega na bezpośrednim załadowaniu podatnej biblioteki DLL do przestrzeni adresowej niestandardowej aplikacji, umożliwiając wykonanie pożądanego kodu za pośrednictwem sekcji RWX. Z drugiej strony zdalne wstrzyknięcie procesu wykorzystuje sekcję RWX w podatnej bibliotece DLL do wstrzyknięcia procesu w procesie zdalnym, takim jak ssh.exe. Strategie te umożliwiają Kosogłosowi ukradkowe manipulowanie wykonywaniem kodu, umożliwiając cyberprzestępcom unikanie środków wykrywania.
Wyzwanie dla systemów wykrywania i reagowania w punktach końcowych (EDR).
W przeciwieństwie do tradycyjnych podejść ta innowacyjna strategia eliminuje potrzebę alokacji pamięci, ustawiania uprawnień lub tworzenia wątków w docelowym procesie w celu zainicjowania wykonania wstrzykniętego kodu. Naukowcy podkreślili, że ta unikalna cecha stanowi poważne wyzwanie dla systemów Endpoint Detection and Response (EDR), ponieważ odbiega od typowych wzorców, które powinny wykrywać. Odkrycia te pojawiły się po kolejnym niedawnym ujawnieniu metody wykorzystującej legalną technologię wdrażania programu Visual Studio o nazwie ClickOnce. Ta metoda umożliwia cyberprzestępcom wykonanie dowolnego kodu i uzyskanie wstępnego dostępu, co podkreśla ewoluujący krajobraz wyrafinowanych technik ataków.