Technika vstrekovania procesu Mockingjay odhalená ako nepolapiteľná metóda, ako sa malvér vyhnúť detekcii
Objavila sa špičková technika vstrekovania procesov s názvom Mockingjay, ktorá predstavuje potenciálnu cestu pre aktérov hrozieb, ako sa vyhnúť bezpečnostným opatreniam a spustiť poškodený kód na kompromitovaných systémoch. Výskumníci v oblasti bezpečnosti identifikovali túto techniku, ktorá obchádza potrebu prideľovania priestoru, nastavenia povolení alebo inicializácie vlákna počas injekcie. Podľa ich správy zdieľanej s The Hacker News, charakteristický rys Mockingjay spočíva v jeho spoliehaní sa na zraniteľnú knižnicu DLL a presnom umiestnení kódu do príslušnej sekcie.
Obsah
Čo je to procesná injekcia?
Process injection je technický malvér, ktorý používajú zlomyseľní herci na vkladanie a spúšťanie kódu do pamäťového priestoru legitímneho procesu bežiaceho na počítači. Vložený kód zvyčajne udeľuje neoprávnený prístup alebo vykonáva škodlivé akcie v rámci cieleného procesu, často s cieľom obísť bezpečnostné opatrenia a zostať neodhalený. Techniky vstrekovania procesov využívajú zraniteľné miesta alebo slabé miesta v operačnom systéme alebo aplikáciách na získanie kontroly nad procesom a manipuláciu s jeho správaním. Štandardné metódy vstrekovania procesov zahŕňajú DLL, kód a procesné vyhĺbenie.
Techniky vstrekovania procesov sú rôznorodé a zahŕňajú rôzne metódy, ktoré malvér alebo zle orientovaní aktéri používajú na vloženie kódu do legitímnych procesov. Niektoré prominentné techniky vstrekovania procesov zahŕňajú injekciu DLL, kde sa kompromitovaná DLL načíta do cieľového procesu; prenosné vloženie spustiteľného súboru, ktoré zahŕňa vloženie kódu zo samostatného spustiteľného súboru; únos spustenia vlákna, kde je tok vykonávania legitímneho vlákna presmerovaný na zlý kód; proces hollowing, kedy je vytvorený legitímny proces a potom nahradený zlým kódom; a proces doppelgänging, ktorý zahŕňa manipuláciu so súborovým systémom a atribútmi procesu s cieľom vytvoriť nebezpečný proces.
Každá technika sa pri vykonávaní injekcie spolieha na špecifické systémové volania a rozhrania Windows API, čo obrancom umožňuje vyvinúť efektívne stratégie detekcie a zmiernenia. Po pochopení základných mechanizmov týchto injekčných metód môžu odborníci v oblasti bezpečnosti navrhnúť vhodné protiopatrenia a ochranné systémy proti takýmto útokom.
Jedinečné črty Mockingjaya
Mockingjay sa odlišuje obchádzaním tradičných bezpečnostných opatrení dômyselným využívaním existujúcich prenosných spustiteľných súborov Windows s pamäťovým blokom chráneným oprávneniami Read-Write-Execute (RWX). Tento inovatívny prístup eliminuje potrebu spúšťania monitorovaných rozhraní Windows API, ktoré sú zvyčajne monitorované bezpečnostnými riešeniami. Využitím msys-2.0.dll, ktorý ponúka podstatných 16 KB dostupného priestoru RWX, Mockingjay efektívne skrýva nebezpečný kód a funguje skryto. Je nevyhnutné uznať potenciálnu existenciu iných zraniteľných knižníc DLL s podobnými atribútmi.
Mockingjay používa dve odlišné metódy; samoinjektovanie a vzdialené vstrekovanie procesov na uľahčenie vkladania kódu, čo vedie k zvýšenej účinnosti útoku a vyhýbaniu sa detekcii. Technika samoinjekcie zahŕňa priame načítanie zraniteľnej knižnice DLL do adresného priestoru vlastnej aplikácie, čo umožňuje spustenie požadovaného kódu prostredníctvom sekcie RWX. Na druhej strane, vzdialené vstrekovanie procesu využíva sekciu RWX v zraniteľnej knižnici DLL na vykonanie vstrekovania procesu vo vzdialenom procese, ako je ssh.exe. Tieto stratégie umožňujú Mockingjayovi tajne manipulovať s vykonávaním kódu, čo umožňuje aktérom hrozby vyhnúť sa detekčným opatreniam.
Výzva pre systémy detekcie a odozvy koncových bodov (EDR).
Na rozdiel od tradičných prístupov táto inovatívna stratégia eliminuje potrebu prideľovania pamäte, nastavovania povolení alebo vytvárania vlákien v rámci cieľového procesu na spustenie vykonávania vloženého kódu. Výskumníci zdôraznili, že táto jedinečná funkcia predstavuje významnú výzvu pre systémy detekcie a odozvy koncových bodov (EDR), pretože sa odchyľuje od typických vzorov, ktoré by mali detekovať. Tieto zistenia sa objavujú po ďalšom nedávnom odhalení metódy využívajúcej legitímnu technológiu nasadenia Visual Studio s názvom ClickOnce. Táto metóda umožňuje aktérom hrozieb dosiahnuť ľubovoľné spustenie kódu a získať počiatočný prístup, pričom zdôrazňuje vyvíjajúce sa prostredie sofistikovaných techník útoku.