Техника убризгавања процеса Сојка ругалица представљена је као неухватљива метода да злонамерни софтвер избегне откривање
Појавила се најсавременија техника убризгавања процеса под називом Моцкингјаи, која представља потенцијални пут за актере претњи да избегну безбедносне мере и изврше оштећени код на компромитованим системима. Истраживачи безбедности су идентификовали ову технику, која заобилази потребу за доделом простора, подешавањима дозвола или иницијализацијом нити током ињекције. Према њиховом извештају који је подељен са Тхе Хацкер Невс, посебност Моцкингјаи-а лежи у његовом ослањању на рањиви ДЛЛ и прецизном постављању кода у одговарајући одељак.
Преглед садржаја
Шта је процесна ињекција?
Убацивање процеса је технички малвер, који злонамерни актери користе за уметање и извршавање кода унутар меморијског простора легитимног процеса који се покреће на рачунару. Убачени код обично даје неовлашћени приступ или врши штетне радње у оквиру циљаног процеса, често са циљем да заобиђе безбедносне мере и остане неоткривен. Технике убризгавања процеса искоришћавају рањивости или слабости у оперативном систему или апликацијама да би стекли контролу над процесом и манипулисали његовим понашањем. Стандардне методе убризгавања процеса укључују ДЛЛ, код и издубљивање процеса.
Технике убризгавања процеса су различите и обухватају различите методе које злонамерни софтвер или лоше оријентисани актери користе за убацивање кода у легитимне процесе. Неке истакнуте технике убризгавања процеса укључују ДЛЛ ињекцију, где се компромитовани ДЛЛ учитава у циљни процес; преносива извршна ињекција, која укључује убацивање кода из засебне извршне датотеке; отмица извршавања нити, где се ток извршавања легитимне нити преусмерава на лош код; процес шупље, где се прави легитиман процес, а затим замењен лошим кодом; и доппелгангинг процеса, што укључује манипулисање системом датотека и атрибутима процеса да би се створио небезбедан процес.
Свака техника се ослања на специфичне системске позиве и Виндовс АПИ-је за извођење ињекције, омогућавајући браниоцима да развију ефикасне стратегије откривања и ублажавања. Разумевањем основних механизама ових метода убризгавања, стручњаци за безбедност могу да осмисле одговарајуће противмере и системе заштите од таквих напада.
Јединствене особине сојке ругалице
Моцкингјаи се издваја тако што заобилази традиционалне мере безбедности паметним коришћењем постојећих Виндовс преносивих извршних датотека са меморијским блоком заштићеним дозволама за читање-уписивање-извршавање (РВКС). Овај иновативни приступ елиминише потребу за покретањем надгледаних Виндовс АПИ-ја који се обично надгледају помоћу безбедносних решења. Користећи мсис-2.0.длл, који нуди значајних 16 КБ доступног РВКС простора, Моцкингјаи ефективно прикрива небезбедни код и ради тајно. Признање потенцијалног постојања других рањивих ДЛЛ-ова са сличним атрибутима је од суштинског значаја.
Сојка ругалица користи две различите методе; самоубризгавање и даљинско убризгавање процеса, како би се олакшало убацивање кода, што резултира повећаном ефикасношћу напада и избегавањем откривања. Техника самоубацивања укључује директно учитавање рањивог ДЛЛ-а у адресни простор прилагођене апликације, омогућавајући извршавање жељеног кода преко РВКС одељка. С друге стране, даљинско убризгавање процеса користи РВКС одељак унутар рањивог ДЛЛ-а да изврши убацивање процеса у удаљени процес као што је ссх.еке. Ове стратегије омогућавају Моцкингјаи-у да тајно манипулише извршавањем кода, омогућавајући актерима претњи да избегну мере откривања.
Изазов за системе за откривање крајњих тачака и одговор (ЕДР).
За разлику од традиционалних приступа, ова иновативна стратегија елиминише потребу за додељивањем меморије, подешавањем дозвола или креирањем нити унутар циљног процеса да би се покренуло извршење убаченог кода. Истраживачи су истакли да ова јединствена карактеристика представља значајан изазов за системе откривања и одговора крајњих тачака (ЕДР), пошто одступа од типичних образаца које би требало да открију. Ови налази се појављују након још једног недавног открића методе која користи легитимну технологију имплементације Висуал Студио-а под називом ЦлицкОнце. Овај метод омогућава актерима претњи да постигну произвољно извршење кода и добију почетни приступ, наглашавајући развојни пејзаж софистицираних техника напада.