Техника внедрения процесса Mockingjay представлена как неуловимый метод для вредоносных программ, чтобы избежать обнаружения
Появился передовой метод внедрения процессов под названием «Сойка-пересмешница», который предоставляет злоумышленникам потенциальную возможность обойти меры безопасности и выполнить поврежденный код на скомпрометированных системах. Исследователи безопасности определили этот метод, который позволяет избежать необходимости выделения пространства, настроек разрешений или инициализации потока во время внедрения. Согласно их отчету, предоставленному The Hacker News, отличительная черта Mockingjay заключается в том, что он использует уязвимую DLL и точное размещение кода в соответствующем разделе.
Оглавление
Что такое инъекция процесса?
Внедрение процесса — это техническое вредоносное ПО, которое злоумышленники используют для вставки и выполнения кода в памяти законного процесса, работающего на компьютере. Внедренный код обычно предоставляет несанкционированный доступ или выполняет вредоносные действия в целевом процессе, часто стремясь обойти меры безопасности и остаться незамеченным. Методы внедрения процессов используют уязвимости или слабые места в операционной системе или приложениях, чтобы получить контроль над процессом и управлять его поведением. Стандартные методы внедрения процессов включают DLL, код и очистку процессов.
Методы внедрения процессов разнообразны и охватывают различные методы, которые вредоносные программы или недобросовестные субъекты используют для внедрения кода в законные процессы. Некоторые известные методы внедрения в процессы включают в себя внедрение DLL, когда скомпрометированная DLL загружается в целевой процесс; переносимая исполняемая инъекция, которая включает в себя инъекцию кода из отдельного исполняемого файла; перехват выполнения потока, когда поток выполнения законного потока перенаправляется на неверный код; опустошение процессов, при котором создается законный процесс, а затем заменяется неверным кодом; и процесс-двойник, который включает в себя манипулирование файловой системой и атрибутами процесса для создания небезопасного процесса.
Каждый метод использует определенные системные вызовы и API-интерфейсы Windows для выполнения внедрения, что позволяет защитникам разрабатывать эффективные стратегии обнаружения и устранения угроз. Понимая основные механизмы этих методов внедрения, специалисты по безопасности могут разработать соответствующие контрмеры и защитить системы от таких атак.
Уникальные черты Сойки-пересмешницы
Mockingjay отличается тем, что обходит традиционные меры безопасности, умело используя существующие переносимые исполняемые файлы Windows с блоком памяти, защищенным разрешениями на чтение-запись-выполнение (RWX). Этот инновационный подход устраняет необходимость запуска отслеживаемых API-интерфейсов Windows, которые обычно отслеживаются решениями по обеспечению безопасности. Используя msys-2.0.dll, которая предлагает значительные 16 КБ доступного пространства RWX, Mockingjay эффективно скрывает небезопасный код и действует скрытно. Признание потенциального существования других уязвимых библиотек DLL с аналогичными атрибутами имеет важное значение.
Сойка-пересмешница использует два разных метода; самовнедрение и удаленное внедрение в процесс для облегчения внедрения кода, что приводит к повышению эффективности атаки и уклонению от обнаружения. Техника самоинъекции предполагает прямую загрузку уязвимой DLL в адресное пространство пользовательского приложения, что позволяет выполнять желаемый код через раздел RWX. С другой стороны, внедрение удаленного процесса использует раздел RWX в уязвимой DLL для внедрения процесса в удаленный процесс, такой как ssh.exe. Эти стратегии позволяют Сойке-пересмешнице скрытно манипулировать выполнением кода, позволяя злоумышленникам уклоняться от мер обнаружения.
Проблема для систем обнаружения и реагирования на конечных точках (EDR)
В отличие от традиционных подходов, эта инновационная стратегия устраняет необходимость в выделении памяти, настройке разрешений или создании потока в целевом процессе для инициирования выполнения внедренного кода. Исследователи подчеркнули, что эта уникальная функция представляет серьезную проблему для систем обнаружения и реагирования на конечных точках (EDR), поскольку она отклоняется от типичных шаблонов, которые они должны обнаруживать. Эти результаты появились после еще одного недавнего раскрытия метода, использующего законную технологию развертывания Visual Studio под названием ClickOnce. Этот метод позволяет злоумышленникам выполнять произвольный код и получать первоначальный доступ, подчеркивая развивающийся ландшафт изощренных методов атак.