Tehnika vbrizgavanja procesa Mockingjay je predstavljena kot izmuzljiva metoda za zlonamerno programsko opremo, da se izogne odkrivanju
Pojavila se je vrhunska tehnika vbrizgavanja procesov, imenovana Mockingjay, ki predstavlja potencialno pot za akterje groženj, da se izognejo varnostnim ukrepom in izvedejo poškodovano kodo na ogroženih sistemih. Varnostni raziskovalci so odkrili to tehniko, ki zaobide potrebo po dodelitvi prostora, nastavitvah dovoljenj ali inicializaciji niti med vbrizgavanjem. Po njihovem poročilu, ki so ga delili z The Hacker News, je posebnost Mockingjaya v njegovem zanašanju na ranljiv DLL in natančni umestitvi kode znotraj ustreznega razdelka.
Kazalo
Kaj je vnos procesa?
Vbrizgavanje procesov je tehnična zlonamerna programska oprema, ki jo zlobni akterji uporabljajo za vstavljanje in izvajanje kode v pomnilniški prostor zakonitega procesa, ki se izvaja v računalniku. Vbrizgana koda običajno omogoča nepooblaščen dostop ali izvaja škodljiva dejanja v ciljnem procesu, pogosto z namenom, da zaobide varnostne ukrepe in ostane neodkrita. Tehnike vbrizgavanja procesov izkoriščajo ranljivosti ali slabosti v operacijskem sistemu ali aplikacijah, da pridobijo nadzor nad procesom in manipulirajo z njegovim vedenjem. Standardne metode vbrizgavanja procesov vključujejo DLL, kodo in izdolbljanje procesa.
Tehnike vbrizgavanja procesov so raznolike in zajemajo različne metode, ki jih zlonamerna programska oprema ali slabo usmerjeni akterji uporabljajo za vbrizgavanje kode v zakonite procese. Nekatere vidne tehnike vbrizgavanja procesov vključujejo vbrizgavanje DLL, kjer se ogrožen DLL naloži v ciljni proces; prenosno izvršljivo vbrizgavanje, ki vključuje vbrizgavanje kode iz ločene izvršljive datoteke; ugrabitev izvajanja niti, kjer je tok izvajanja zakonite niti preusmerjen na slabo kodo; praznjenje procesa, kjer se ustvari zakonit proces in ga nato nadomesti s slabo kodo; in proces doppelgänging, ki vključuje manipulacijo datotečnega sistema in atributov procesa za ustvarjanje nevarnega procesa.
Vsaka tehnika se za izvedbo vbrizgavanja zanaša na posebne sistemske klice in Windows API-je, kar zagovornikom omogoča razvoj učinkovitih strategij za odkrivanje in ublažitev. Z razumevanjem osnovnih mehanizmov teh metod vbrizgavanja lahko varnostni strokovnjaki oblikujejo ustrezne protiukrepe in zaščitne sisteme pred takšnimi napadi.
Edinstvene lastnosti Mockingjaya
Mockingjay se razlikuje po tem, da se izogne tradicionalnim varnostnim ukrepom s premeteno uporabo obstoječih prenosnih izvedljivih datotek sistema Windows s pomnilniškim blokom, zaščitenim z dovoljenji za branje-pisanje-izvajanje (RWX). Ta inovativni pristop odpravlja potrebo po sprožitvi nadzorovanih API-jev Windows, ki jih običajno spremljajo varnostne rešitve. Z uporabo msys-2.0.dll, ki ponuja znatnih 16 KB razpoložljivega prostora RWX, Mockingjay učinkovito prikrije nevarno kodo in deluje prikrito. Priznavanje morebitnega obstoja drugih ranljivih DLL-jev s podobnimi lastnostmi je bistveno.
Mockingjay uporablja dve različni metodi; samovbrizgavanje in vbrizgavanje procesov na daljavo za olajšanje vbrizgavanja kode, kar ima za posledico izboljšano učinkovitost napada in izogibanje zaznavanju. Tehnika samovbrizgavanja vključuje neposredno nalaganje ranljivega DLL-ja v naslovni prostor aplikacije po meri, kar omogoča izvajanje želene kode prek razdelka RWX. Po drugi strani pa oddaljeno vbrizgavanje procesa uporablja razdelek RWX znotraj ranljivega DLL za izvedbo vbrizgavanja procesa v oddaljeni proces, kot je ssh.exe. Te strategije omogočajo Mockingjayu, da prikrito manipulira z izvajanjem kode, kar akterjem groženj omogoča, da se izognejo ukrepom zaznavanja.
Izziv za sisteme za odkrivanje in odziv končne točke (EDR).
Za razliko od tradicionalnih pristopov ta inovativna strategija odpravlja potrebo po dodelitvi pomnilnika, nastavitvi dovoljenj ali ustvarjanju niti znotraj ciljnega procesa za začetek izvajanja vstavljene kode. Raziskovalci so poudarili, da ta edinstvena funkcija predstavlja velik izziv za sisteme za zaznavanje in odziv končne točke (EDR), saj odstopa od tipičnih vzorcev, ki bi jih morali zaznati. Te ugotovitve so se pojavile po novem nedavnem razkritju metode, ki izkorišča zakonito tehnologijo uvajanja Visual Studio, imenovano ClickOnce. Ta metoda akterjem groženj omogoča, da dosežejo poljubno izvajanje kode in pridobijo začetni dostop, s poudarkom na razvijajočem se okolju sofisticiranih tehnik napada.