மால்வேர் கண்டறிதலைத் தவிர்ப்பதற்கான ஒரு மழுப்பலான முறையாக மோக்கிங்ஜே செயல்முறை ஊசி நுட்பம் வெளியிடப்பட்டது

மோக்கிங்ஜே என்று அழைக்கப்படும் ஒரு அதிநவீன செயல்முறை ஊசி நுட்பம் உருவாகியுள்ளது, இது அச்சுறுத்தல் நடிகர்களுக்கு பாதுகாப்பு நடவடிக்கைகளைத் தவிர்ப்பதற்கும், சமரசம் செய்யப்பட்ட கணினிகளில் சிதைந்த குறியீட்டை செயல்படுத்துவதற்கும் ஒரு சாத்தியமான வழியை வழங்குகிறது. பாதுகாப்பு ஆராய்ச்சியாளர்கள் இந்த நுட்பத்தை அடையாளம் கண்டுள்ளனர், இது உட்செலுத்தலின் போது இட ஒதுக்கீடு, அனுமதி அமைப்புகள் அல்லது நூல் துவக்கத்தின் தேவையைத் தவிர்க்கிறது. The Hacker News உடன் பகிர்ந்து கொள்ளப்பட்ட அவர்களின் அறிக்கையின்படி, மோக்கிங்ஜேயின் தனித்தன்மை, பாதிக்கப்படக்கூடிய DLLயை நம்பியிருப்பதும், அதற்கான பிரிவில் குறியீட்டை துல்லியமாக வைப்பதும் ஆகும்.

செயல்முறை ஊசி என்றால் என்ன?

செயல்முறை ஊசி என்பது ஒரு தொழில்நுட்ப மால்வேர் ஆகும், தீய எண்ணம் கொண்ட நடிகர்கள் கணினியில் இயங்கும் முறையான செயல்பாட்டின் நினைவகத்தில் குறியீட்டைச் செருகவும் இயக்கவும் பயன்படுத்துகின்றனர். உட்செலுத்தப்பட்ட குறியீடு பொதுவாக அங்கீகரிக்கப்படாத அணுகலை வழங்குகிறது அல்லது இலக்கு செயல்பாட்டிற்குள் தீங்கு விளைவிக்கும் செயல்களைச் செய்கிறது, பெரும்பாலும் பாதுகாப்பு நடவடிக்கைகளைத் தவிர்த்து, கண்டறியப்படாமல் இருப்பதை நோக்கமாகக் கொண்டுள்ளது. செயல்முறை ஊசி நுட்பங்கள் இயக்க முறைமை அல்லது பயன்பாடுகளில் உள்ள பாதிப்புகள் அல்லது பலவீனங்களை ஒரு செயல்முறையின் மீது கட்டுப்பாட்டைப் பெறவும் அதன் நடத்தையை கையாளவும் பயன்படுத்துகின்றன. நிலையான செயல்முறை ஊசி முறைகளில் DLL, குறியீடு மற்றும் செயல்முறை துளையிடுதல் ஆகியவை அடங்கும்.

செயல்முறை ஊசி நுட்பங்கள் வேறுபட்டவை மற்றும் தீம்பொருள் அல்லது தவறான நோக்கமுள்ள நடிகர்கள் சட்டபூர்வமான செயல்முறைகளில் குறியீட்டை உட்செலுத்துவதற்குப் பயன்படுத்தும் பல்வேறு முறைகளை உள்ளடக்கியது. சில முக்கிய செயல்முறை ஊசி நுட்பங்களில் டிஎல்எல் ஊசி அடங்கும், இதில் சமரசம் செய்யப்பட்ட டிஎல்எல் இலக்கு செயல்பாட்டில் ஏற்றப்படுகிறது; கையடக்க இயங்கக்கூடிய ஊசி, இது ஒரு தனி இயங்கக்கூடிய கோப்பிலிருந்து குறியீட்டை உட்செலுத்துவதை உள்ளடக்கியது; த்ரெட் எக்ஸிகியூஷன் ஹைஜாக்கிங், இதில் ஒரு முறையான நூலின் செயலாக்க ஓட்டம் மோசமான குறியீட்டிற்கு திருப்பி விடப்படுகிறது; செயல்முறை வெற்று, அங்கு ஒரு முறையான செயல்முறை உருவாக்கப்பட்டு பின்னர் மோசமான குறியீடு மாற்றப்பட்டது; மற்றும் செயல்முறை doppelgänging, இது ஒரு பாதுகாப்பற்ற செயல்முறையை உருவாக்க கோப்பு முறைமை மற்றும் செயல்முறை பண்புகளை கையாளுவதை உள்ளடக்கியது.

ஒவ்வொரு நுட்பமும் குறிப்பிட்ட சிஸ்டம் அழைப்புகள் மற்றும் விண்டோஸ் ஏபிஐகளை உட்செலுத்துவதைச் செயல்படுத்துகிறது, இது பாதுகாவலர்கள் பயனுள்ள கண்டறிதல் மற்றும் தணிப்பு உத்திகளை உருவாக்க உதவுகிறது. இந்த ஊசி முறைகளின் அடிப்படை வழிமுறைகளைப் புரிந்துகொள்வதன் மூலம், பாதுகாப்பு வல்லுநர்கள் அத்தகைய தாக்குதல்களுக்கு எதிராக பொருத்தமான எதிர் நடவடிக்கைகளையும் பாதுகாப்பு அமைப்புகளையும் உருவாக்க முடியும்.

மோக்கிங்ஜேயின் தனித்துவமான பண்புகள்

ரீட்-ரைட்-எக்ஸிகியூட் (RWX) அனுமதிகளுடன் பாதுகாக்கப்பட்ட நினைவகத் தொகுதியுடன் இருக்கும் விண்டோஸ் போர்ட்டபிள் இயங்கக்கூடிய கோப்புகளை புத்திசாலித்தனமாகப் பயன்படுத்துவதன் மூலம் பாரம்பரிய பாதுகாப்பு நடவடிக்கைகளைத் தவிர்ப்பதன் மூலம் மோக்கிங்ஜே தன்னைத் தனித்து நிற்கிறது. இந்த புதுமையான அணுகுமுறை பொதுவாக பாதுகாப்புத் தீர்வுகளால் கண்காணிக்கப்படும் கண்காணிக்கப்படும் Windows APIகளைத் தூண்டுவதற்கான தேவையை நீக்குகிறது. கணிசமான 16 KB RWX இடத்தை வழங்கும் msys-2.0.dllஐ மேம்படுத்துவதன் மூலம், Mockingjay பாதுகாப்பற்ற குறியீட்டை மறைத்து மறைவாகச் செயல்படுகிறது. இதே போன்ற பண்புகளுடன் பாதிக்கப்படக்கூடிய பிற DLLகளின் சாத்தியமான இருப்பை ஒப்புக்கொள்வது அவசியம்.

Mockingjay இரண்டு வேறுபட்ட முறைகளைப் பயன்படுத்துகிறார்; சுய ஊசி, மற்றும் ரிமோட் செயல்முறை ஊசி, குறியீடு உட்செலுத்துதலை எளிதாக்குகிறது, இதன் விளைவாக மேம்பட்ட தாக்குதல் செயல்திறன் மற்றும் கண்டறிதலை தவிர்ப்பது. சுய-இன்ஜெக்ஷன் நுட்பமானது, பாதிக்கப்படக்கூடிய DLL ஐ தனிப்பயன் பயன்பாட்டின் முகவரி இடத்தில் நேரடியாக ஏற்றுவதை உள்ளடக்கியது, RWX பிரிவு வழியாக விரும்பிய குறியீட்டை செயல்படுத்த உதவுகிறது. மறுபுறம், ரிமோட் செயல்முறை ஊசி ssh.exe போன்ற தொலைநிலை செயல்பாட்டில் செயல்முறை ஊசியைச் செய்ய பாதிக்கப்படக்கூடிய DLL இல் உள்ள RWX பகுதியைப் பயன்படுத்துகிறது. இந்த உத்திகள் மோக்கிங்ஜேக்கு குறியீடு செயல்படுத்தலை திருட்டுத்தனமாக கையாள உதவுகிறது, அச்சுறுத்தல் நடிகர்கள் கண்டறிதல் நடவடிக்கைகளைத் தவிர்க்க உதவுகிறது.

இறுதிப்புள்ளி கண்டறிதல் மற்றும் பதில் (EDR) அமைப்புகளுக்கான ஒரு சவால்

பாரம்பரிய அணுகுமுறைகளைப் போலன்றி, இந்த புதுமையான உத்தியானது, உட்செலுத்தப்பட்ட குறியீட்டை செயல்படுத்துவதைத் தொடங்க இலக்கு செயல்முறைக்குள் நினைவக ஒதுக்கீடு, அனுமதி அமைப்பு அல்லது நூல் உருவாக்கம் ஆகியவற்றின் தேவையை நீக்குகிறது. இந்த தனித்துவமான அம்சம் எண்ட்பாயிண்ட் டிடக்ஷன் மற்றும் ரெஸ்பான்ஸ் (ஈடிஆர்) அமைப்புகளுக்கு ஒரு குறிப்பிடத்தக்க சவாலாக உள்ளது என்று ஆராய்ச்சியாளர்கள் எடுத்துரைத்தனர், ஏனெனில் இது அவர்கள் கண்டறிய வேண்டிய வழக்கமான வடிவங்களிலிருந்து விலகுகிறது. ClickOnce எனப்படும் முறையான விஷுவல் ஸ்டுடியோ வரிசைப்படுத்தல் தொழில்நுட்பத்தை மேம்படுத்தும் முறையின் மற்றொரு சமீபத்திய வெளிப்பாட்டிற்குப் பிறகு இந்த கண்டுபிடிப்புகள் வெளிவருகின்றன. இந்த முறை அச்சுறுத்தல் நடிகர்களை தன்னிச்சையான குறியீடு செயல்படுத்தலை அடைய மற்றும் ஆரம்ப அணுகலைப் பெற உதவுகிறது, அதிநவீன தாக்குதல் நுட்பங்களின் வளரும் நிலப்பரப்பை வலியுறுத்துகிறது.