Teknika e injektimit të procesit Mockingjay u zbulua si një metodë e pakapshme për malware për të shmangur zbulimin
Një teknikë e fundit e injektimit të procesit të quajtur Mockingjay është shfaqur, duke paraqitur një rrugë të mundshme për aktorët e kërcënimit që të shmangin masat e sigurisë dhe të ekzekutojnë një kod të korruptuar në sistemet e komprometuara. Studiuesit e sigurisë kanë identifikuar këtë teknikë, e cila shmang nevojën për ndarjen e hapësirës, cilësimet e lejeve ose inicializimin e fillit gjatë injektimit. Sipas raportit të tyre të ndarë me The Hacker News, veçoria e Mockingjay qëndron në mbështetjen e tij në një DLL të cenueshme dhe vendosjen e saktë të kodit brenda seksionit të duhur.
Tabela e Përmbajtjes
Çfarë është një injeksion i procesit?
Injektimi i procesit është një malware teknik, që aktorët me mendje të ligë e përdorin për të futur dhe ekzekutuar kodin brenda hapësirës së memories së një procesi legjitim që ekzekutohet në një kompjuter. Kodi i injektuar zakonisht jep akses të paautorizuar ose kryen veprime të dëmshme brenda procesit të synuar, shpesh duke synuar të anashkalojë masat e sigurisë dhe të mbetet i pazbuluar. Teknikat e injektimit të procesit shfrytëzojnë dobësitë ose dobësitë në sistemin operativ ose aplikacionet për të fituar kontrollin mbi një proces dhe për të manipuluar sjelljen e tij. Metodat standarde të injektimit të procesit përfshijnë DLL, kodin dhe zgavrën e procesit.
Teknikat e injektimit të procesit janë të ndryshme dhe përfshijnë metoda të ndryshme që malware ose aktorë të orientuar keq përdorin për të injektuar kodin në procese legjitime. Disa teknika të spikatura të injektimit të procesit përfshijnë injektimin DLL, ku një DLL e komprometuar ngarkohet në një proces të synuar; injeksion i ekzekutueshëm portativ, i cili përfshin injektimin e kodit nga një skedar i veçantë i ekzekutueshëm; rrëmbimi i ekzekutimit të thread-it, ku rrjedha e ekzekutimit të një thread-i legjitim ridrejtohet në një kod të keq; zbrazja e procesit, ku krijohet një proces legjitim dhe më pas zëvendësohet me kod të keq; dhe procesi doppelgänging, i cili përfshin manipulimin e sistemit të skedarëve dhe atributeve të procesit për të krijuar një proces të pasigurt.
Çdo teknikë mbështetet në thirrjet specifike të sistemit dhe API-të e Windows për të kryer injektimin, duke u mundësuar mbrojtësve të zhvillojnë strategji efektive të zbulimit dhe zbutjes. Duke kuptuar mekanizmat themelorë të këtyre metodave të injektimit, profesionistët e sigurisë mund të krijojnë kundërmasa të përshtatshme dhe sisteme mbrojtëse kundër sulmeve të tilla.
Tiparet unike të Mockingjay
Mockingjay e veçon veten duke anashkaluar masat tradicionale të sigurisë duke përdorur me zgjuarsi skedarët ekzekutues portativë ekzistues të Windows me një bllok memorie të mbrojtur me lejet Read-Write-Execute (RWX). Kjo qasje inovative eliminon nevojën për të aktivizuar API-të e monitoruara të Windows të monitoruara zakonisht nga zgjidhjet e sigurisë. Duke përdorur msys-2.0.dll, i cili ofron një hapësirë të konsiderueshme RWX prej 16 KB, Mockingjay fsheh në mënyrë efektive kodin e pasigurt dhe funksionon fshehurazi. Pranimi i ekzistencës së mundshme të DLL-ve të tjera të cenueshme me atribute të ngjashme është thelbësore.
Mockingjay përdor dy metoda të dallueshme; vetë-injektimi dhe injektimi i procesit në distancë, për të lehtësuar injektimin e kodit, duke rezultuar në rritjen e efektivitetit të sulmit dhe evazionit të zbulimit. Teknika e vetë-injektimit përfshin ngarkimin e drejtpërdrejtë të DLL-së së cenueshme në hapësirën e adresave të një aplikacioni të personalizuar, duke mundësuar ekzekutimin e kodit të dëshiruar përmes seksionit RWX. Nga ana tjetër, injektimi i procesit në distancë përdor seksionin RWX brenda DLL-së vulnerabël për të kryer injektimin e procesit në një proces në distancë si ssh.exe. Këto strategji i mundësojnë Mockingjay të manipulojë në mënyrë të fshehtë ekzekutimin e kodit, duke u mundësuar aktorëve të kërcënimit të shmangin masat e zbulimit.
Një sfidë për sistemet e zbulimit dhe reagimit të pikës fundore (EDR).
Ndryshe nga qasjet tradicionale, kjo strategji inovative eliminon nevojën për shpërndarjen e memories, vendosjen e lejeve ose krijimin e thread-it brenda procesit të synuar për të inicuar ekzekutimin e kodit të injektuar. Studiuesit theksuan se kjo veçori unike paraqet një sfidë të rëndësishme për sistemet e Zbulimit dhe Përgjigjes së Fundit (EDR), pasi ajo devijon nga modelet tipike që duhet të zbulojnë. Këto gjetje dalin pas një zbulimi tjetër të fundit të një metode që përdor teknologjinë legjitime të vendosjes së Visual Studio të quajtur ClickOnce. Kjo metodë u mundëson aktorëve të kërcënimit të arrijnë ekzekutimin arbitrar të kodit dhe të fitojnë akses fillestar, duke theksuar peizazhin në zhvillim të teknikave të sofistikuara të sulmit.