Tehnica de injectare a procesului Mockingjay a fost dezvăluită ca o metodă evazivă pentru malware pentru a evita detectarea
A apărut o tehnică de ultimă oră de injectare a proceselor numită Mockingjay, prezentând o cale potențială pentru actorii amenințărilor să evite măsurile de securitate și să execute un cod corupt pe sistemele compromise. Cercetătorii de securitate au identificat această tehnică, care eludează nevoia de alocare de spațiu, setări de permisiuni sau inițializare fir în timpul injectării. Potrivit raportului lor distribuit cu The Hacker News, caracterul distinctiv al Mockingjay constă în dependența sa de un DLL vulnerabil și în plasarea precisă a codului în secțiunea corespunzătoare.
Cuprins
Ce este o injecție de proces?
Injecția de proces este un malware tehnic, pe care actorii cu minte rău îl folosesc pentru a introduce și executa cod în spațiul de memorie al unui proces legitim care rulează pe un computer. Codul injectat acordă de obicei acces neautorizat sau efectuează acțiuni dăunătoare în cadrul procesului vizat, deseori urmărind să ocolească măsurile de securitate și să rămână nedetectat. Tehnicile de injectare a proceselor exploatează vulnerabilitățile sau punctele slabe ale sistemului de operare sau aplicațiilor pentru a obține controlul asupra unui proces și a manipula comportamentul acestuia. Metodele standard de injectare a proceselor includ DLL, cod și golirea procesului.
Tehnicile de injectare a proceselor sunt diverse și cuprind diferite metode pe care le folosesc programele malware sau actorii neorientați pentru a injecta cod în procesele legitime. Unele tehnici proeminente de injectare a proceselor includ injectarea DLL, unde un DLL compromis este încărcat într-un proces țintă; injectare executabilă portabilă, care implică injectarea codului dintr-un fișier executabil separat; deturnarea execuției firului, în care fluxul de execuție al unui fir legitim este redirecționat către un cod prost; golirea procesului, în cazul în care un proces legitim este creat și apoi înlocuit cu cod prost; și proces de doppelgänging, care implică manipularea sistemului de fișiere și a atributelor procesului pentru a crea un proces nesigur.
Fiecare tehnică se bazează pe apeluri de sistem specifice și pe API-uri Windows pentru a efectua injecția, permițând apărătorilor să dezvolte strategii eficiente de detectare și atenuare. Înțelegând mecanismele care stau la baza acestor metode de injectare, profesioniștii în securitate pot concepe contramăsuri adecvate și sisteme de protecție împotriva unor astfel de atacuri.
Trăsăturile unice ale Mockingjay
Mockingjay se deosebește prin eludarea măsurilor tradiționale de securitate prin utilizarea inteligentă a fișierelor executabile portabile Windows existente, cu un bloc de memorie protejat cu permisiuni Read-Write-Execute (RWX). Această abordare inovatoare elimină necesitatea de a declanșa API-uri Windows monitorizate, de obicei monitorizate de soluții de securitate. Utilizând msys-2.0.dll, care oferă un spațiu RWX substanțial de 16 KB, Mockingjay ascunde efectiv codul nesigur și funcționează pe ascuns. Recunoașterea existenței potențiale a altor DLL-uri vulnerabile cu atribute similare este esențială.
Mockingjay folosește două metode distincte; auto-injectare și injectare de la distanță a procesului, pentru a facilita injectarea codului, rezultând o eficiență sporită a atacului și evaziunea detectării. Tehnica de auto-injectare implică încărcarea directă a DLL-ului vulnerabil în spațiul de adrese al unei aplicații personalizate, permițând executarea codului dorit prin secțiunea RWX. Pe de altă parte, injectarea de la distanță a procesului utilizează secțiunea RWX din DLL-ul vulnerabil pentru a efectua injecția de proces într-un proces de la distanță precum ssh.exe. Aceste strategii îi permit lui Mockingjay să manipuleze pe furiș execuția codului, permițând actorilor amenințărilor să evite măsurile de detectare.
O provocare pentru sistemele EDR (Endpoint Detection and Response).
Spre deosebire de abordările tradiționale, această strategie inovatoare elimină nevoia de alocare a memoriei, de setare a permisiunii sau de creare a firelor în cadrul procesului țintă pentru a iniția execuția codului injectat. Cercetătorii au subliniat că această caracteristică unică reprezintă o provocare semnificativă pentru sistemele EDR (Endpoint Detection and Response), deoarece se abate de la tiparele tipice pe care ar trebui să le detecteze. Aceste constatări apar după o altă revelație recentă a unei metode care folosește tehnologia legitimă de implementare Visual Studio numită ClickOnce. Această metodă permite actorilor amenințărilor să realizeze execuția de cod arbitrară și să obțină acces inițial, subliniind peisajul evolutiv al tehnicilor de atac sofisticate.