Mockingjay Process Injection Technique avslöjas som en svårfångad metod för skadlig programvara för att undvika upptäckt
En banbrytande processinjektionsteknik som kallas Mockingjay har dykt upp, som presenterar en potentiell väg för hotaktörer att undgå säkerhetsåtgärder och exekvera en korrupt kod på komprometterade system. Säkerhetsforskare har identifierat denna teknik, som kringgår behovet av utrymmestilldelning, behörighetsinställningar eller trådinitiering under injektionen. Enligt deras rapport som delas med The Hacker News, ligger Mockingjays särart i dess beroende av en sårbar DLL och den exakta placeringen av kod inom lämplig sektion.
Innehållsförteckning
Vad är en processinjektion?
Processinjektion är en teknisk skadlig programvara som elaksinnade aktörer använder för att infoga och exekvera kod i minnesutrymmet för en legitim process som körs på en dator. Den injicerade koden ger vanligtvis obehörig åtkomst eller utför skadliga åtgärder inom den målinriktade processen, ofta i syfte att kringgå säkerhetsåtgärder och förbli oupptäckt. Processinjektionstekniker utnyttjar sårbarheter eller svagheter i operativsystemet eller applikationerna för att få kontroll över en process och manipulera dess beteende. Standardprocessinjektionsmetoder inkluderar DLL, kod och processhålning.
Processinjektionstekniker är olika och omfattar olika metoder som skadlig programvara eller illa orienterade aktörer använder för att injicera kod i legitima processer. Några framträdande tekniker för processinjektion inkluderar DLL-injektion, där en komprometterad DLL läses in i en målprocess; bärbar körbar injektion, som involverar injicering av kod från en separat körbar fil; kapning av trådkörning, där exekveringsflödet för en legitim tråd omdirigeras till en dålig kod; process urholkning, där en legitim process skapas och sedan ersätts med dålig kod; och processdoppelgänging, vilket innebär att manipulera filsystemet och processattributen för att skapa en osäker process.
Varje teknik förlitar sig på specifika systemanrop och Windows API:er för att utföra injektionen, vilket gör det möjligt för försvarare att utveckla effektiva detektions- och begränsningsstrategier. Genom att förstå de underliggande mekanismerna för dessa injektionsmetoder kan säkerhetspersonal ta fram lämpliga motåtgärder och skydda system mot sådana attacker.
Mockingjays unika egenskaper
Mockingjay utmärker sig genom att kringgå traditionella säkerhetsåtgärder genom att på ett smart sätt använda befintliga bärbara körbara Windows-filer med ett minnesblock skyddat med Read-Write-Execute (RWX)-behörigheter. Detta innovativa tillvägagångssätt eliminerar behovet av att utlösa övervakade Windows API:er som vanligtvis övervakas av säkerhetslösningar. Genom att utnyttja msys-2.0.dll, som erbjuder betydande 16 KB tillgängligt RWX-utrymme, döljer Mockingjay effektivt osäker kod och arbetar i hemlighet. Det är viktigt att erkänna den potentiella existensen av andra sårbara DLL:er med liknande attribut.
Mockingjay använder två distinkta metoder; självinjektion och fjärrprocessinjektion för att underlätta kodinjektion, vilket resulterar i förbättrad attackeffektivitet och undvikande av upptäckt. Självinjektionstekniken innebär att den sårbara DLL-filen direkt laddas in i adressutrymmet för en anpassad applikation, vilket möjliggör exekvering av önskad kod via RWX-sektionen. Å andra sidan använder fjärrprocessinjektionen RWX-sektionen i den sårbara DLL-filen för att utföra processinjektion i en fjärrprocess som ssh.exe. Dessa strategier gör det möjligt för Mockingjay att manipulera kodexekvering smygande, vilket gör det möjligt för hotaktörer att undvika upptäcktsåtgärder.
En utmaning för Endpoint Detection and Response (EDR)-system
Till skillnad från traditionella tillvägagångssätt eliminerar denna innovativa strategi behovet av minnestilldelning, behörighetsinställning eller trådskapande inom målprocessen för att initiera exekvering av injicerad kod. Forskarna framhöll att denna unika funktion utgör en betydande utmaning för Endpoint Detection and Response (EDR)-system, eftersom den avviker från de typiska mönstren de borde upptäcka. Dessa fynd dyker upp efter ytterligare en ny avslöjande av en metod som utnyttjar den legitima Visual Studio-implementeringstekniken som kallas ClickOnce. Denna metod gör det möjligt för hotaktörer att utföra godtycklig kodexekvering och få initial åtkomst, vilket betonar det utvecklande landskapet av sofistikerade attacktekniker.