మోకింగ్‌జయ్ ప్రాసెస్ ఇంజెక్షన్ టెక్నిక్ మాల్వేర్‌ను గుర్తించకుండా తప్పించుకోవడానికి అంతుచిక్కని పద్ధతిగా ఆవిష్కరించబడింది

మోకింగ్‌జయ్ అని పిలువబడే ఒక అత్యాధునిక ప్రక్రియ ఇంజెక్షన్ టెక్నిక్ ఉద్భవించింది, ఇది ముప్పు నటులకు భద్రతా చర్యల నుండి తప్పించుకోవడానికి మరియు రాజీపడిన సిస్టమ్‌లపై పాడైన కోడ్‌ను అమలు చేయడానికి సంభావ్య మార్గాన్ని ప్రదర్శిస్తుంది. భద్రతా పరిశోధకులు ఈ సాంకేతికతను గుర్తించారు, ఇది ఇంజెక్షన్ సమయంలో స్థలం కేటాయింపు, అనుమతి సెట్టింగ్‌లు లేదా థ్రెడ్ ప్రారంభించాల్సిన అవసరాన్ని తప్పించుకుంటుంది. ది హ్యాకర్ న్యూస్‌తో పంచుకున్న వారి నివేదిక ప్రకారం, మోకింగ్‌జయ్ యొక్క విశిష్టత దాని హాని కలిగించే DLLపై ఆధారపడటం మరియు తగిన విభాగంలో కోడ్‌ను ఖచ్చితంగా ఉంచడం.

ప్రాసెస్ ఇంజెక్షన్ అంటే ఏమిటి?

ప్రాసెస్ ఇంజెక్షన్ అనేది సాంకేతిక మాల్వేర్, ఇది కంప్యూటర్‌లో నడుస్తున్న చట్టబద్ధమైన ప్రక్రియ యొక్క మెమరీ స్థలంలో కోడ్‌ను చొప్పించడానికి మరియు అమలు చేయడానికి చెడు మనస్సు గల నటులు ఉపయోగిస్తారు. ఇంజెక్ట్ చేయబడిన కోడ్ సాధారణంగా అనధికారిక యాక్సెస్‌ను మంజూరు చేస్తుంది లేదా లక్ష్య ప్రక్రియలో హానికరమైన చర్యలను చేస్తుంది, తరచుగా భద్రతా చర్యలను దాటవేయడం మరియు గుర్తించబడకుండా ఉండటం లక్ష్యంగా పెట్టుకుంది. ప్రాసెస్ ఇంజెక్షన్ పద్ధతులు ఒక ప్రక్రియపై నియంత్రణ సాధించడానికి మరియు దాని ప్రవర్తనను మార్చడానికి ఆపరేటింగ్ సిస్టమ్ లేదా అప్లికేషన్‌లలోని దుర్బలత్వం లేదా బలహీనతలను ఉపయోగించుకుంటాయి. ప్రామాణిక ప్రాసెస్ ఇంజెక్షన్ పద్ధతులలో DLL, కోడ్ మరియు ప్రాసెస్ హోలోవింగ్ ఉన్నాయి.

ప్రాసెస్ ఇంజెక్షన్ పద్ధతులు విభిన్నమైనవి మరియు మాల్వేర్ లేదా చెడు-ఆధారిత నటులు చట్టబద్ధమైన ప్రక్రియల్లోకి కోడ్‌ను ఇంజెక్ట్ చేయడానికి ఉపయోగించే వివిధ పద్ధతులను కలిగి ఉంటాయి. కొన్ని ప్రముఖ ప్రాసెస్ ఇంజెక్షన్ పద్ధతులు DLL ఇంజెక్షన్‌ను కలిగి ఉంటాయి, ఇక్కడ రాజీపడిన DLL లక్ష్య ప్రక్రియలో లోడ్ చేయబడుతుంది; పోర్టబుల్ ఎక్జిక్యూటబుల్ ఇంజెక్షన్, ఇది ప్రత్యేక ఎక్జిక్యూటబుల్ ఫైల్ నుండి కోడ్‌ను ఇంజెక్ట్ చేయడం; థ్రెడ్ ఎగ్జిక్యూషన్ హైజాకింగ్, ఇక్కడ చట్టబద్ధమైన థ్రెడ్ యొక్క ఎగ్జిక్యూషన్ ఫ్లో చెడు కోడ్‌కి దారి మళ్లించబడుతుంది; ప్రాసెస్ హోలోయింగ్, ఇక్కడ చట్టబద్ధమైన ప్రక్రియ సృష్టించబడుతుంది మరియు తర్వాత చెడు కోడ్‌తో భర్తీ చేయబడుతుంది; మరియు ప్రాసెస్ doppelgänging, ఇది అసురక్షిత ప్రక్రియను సృష్టించడానికి ఫైల్ సిస్టమ్ మరియు ప్రాసెస్ అట్రిబ్యూట్‌లను మార్చడాన్ని కలిగి ఉంటుంది.

ప్రతి టెక్నిక్ ఇంజెక్షన్‌ను నిర్వహించడానికి నిర్దిష్ట సిస్టమ్ కాల్‌లు మరియు Windows APIలపై ఆధారపడుతుంది, డిఫెండర్‌లు సమర్థవంతమైన గుర్తింపు మరియు ఉపశమన వ్యూహాలను అభివృద్ధి చేయడానికి వీలు కల్పిస్తుంది. ఈ ఇంజెక్షన్ పద్ధతుల యొక్క అంతర్లీన మెకానిజమ్‌లను అర్థం చేసుకోవడం ద్వారా, భద్రతా నిపుణులు అటువంటి దాడులకు వ్యతిరేకంగా తగిన ప్రతిఘటనలను మరియు రక్షణ వ్యవస్థలను రూపొందించవచ్చు.

మోకింగ్‌జయ్ యొక్క ప్రత్యేక లక్షణాలు

రీడ్-రైట్-ఎగ్జిక్యూట్ (RWX) అనుమతులతో రక్షించబడిన మెమరీ బ్లాక్‌తో ఇప్పటికే ఉన్న Windows పోర్టబుల్ ఎక్జిక్యూటబుల్ ఫైల్‌లను తెలివిగా ఉపయోగించడం ద్వారా సాంప్రదాయ భద్రతా చర్యలను తప్పించుకోవడం ద్వారా Mockingjay తనను తాను వేరుగా ఉంచుకుంటుంది. ఈ వినూత్న విధానం సాధారణంగా భద్రతా పరిష్కారాల ద్వారా పర్యవేక్షించబడే పర్యవేక్షించబడే Windows APIలను ట్రిగ్గర్ చేయవలసిన అవసరాన్ని తొలగిస్తుంది. గణనీయమైన 16 KB అందుబాటులో ఉన్న RWX స్థలాన్ని అందించే msys-2.0.dllని పెంచడం ద్వారా, Mockingjay అసురక్షిత కోడ్‌ను సమర్థవంతంగా దాచిపెట్టి రహస్యంగా పనిచేస్తుంది. సారూప్య లక్షణాలతో ఇతర హాని కలిగించే DLLల సంభావ్య ఉనికిని గుర్తించడం చాలా అవసరం.

Mockingjay రెండు విభిన్న పద్ధతులను ఉపయోగిస్తాడు; స్వీయ-ఇంజెక్షన్, మరియు రిమోట్ ప్రాసెస్ ఇంజెక్షన్, కోడ్ ఇంజెక్షన్‌ను సులభతరం చేయడానికి, ఫలితంగా దాడి ప్రభావం మెరుగుపడుతుంది మరియు గుర్తించే ఎగవేత. స్వీయ-ఇంజెక్షన్ టెక్నిక్ అనేది కస్టమ్ అప్లికేషన్ యొక్క అడ్రస్ స్పేస్‌లోకి హాని కలిగించే DLLని నేరుగా లోడ్ చేయడం, RWX విభాగం ద్వారా కావలసిన కోడ్‌ను అమలు చేయడాన్ని అనుమతిస్తుంది. మరోవైపు, రిమోట్ ప్రాసెస్ ఇంజెక్షన్ ssh.exe వంటి రిమోట్ ప్రాసెస్‌లో ప్రాసెస్ ఇంజెక్షన్ చేయడానికి హాని కలిగించే DLLలోని RWX విభాగాన్ని ఉపయోగిస్తుంది. ఈ వ్యూహాలు మోకింగ్‌జయ్‌కి కోడ్ అమలును రహస్యంగా మార్చడానికి వీలు కల్పిస్తాయి, ముప్పు నటులు గుర్తించే చర్యలను తప్పించుకునేలా చేస్తుంది.

ఎండ్‌పాయింట్ డిటెక్షన్ అండ్ రెస్పాన్స్ (EDR) సిస్టమ్‌లకు ఒక సవాలు

సాంప్రదాయ విధానాల వలె కాకుండా, ఈ వినూత్న వ్యూహం ఇంజెక్ట్ చేయబడిన కోడ్ అమలును ప్రారంభించడానికి లక్ష్య ప్రక్రియలో మెమరీ కేటాయింపు, అనుమతి సెట్టింగ్ లేదా థ్రెడ్ సృష్టి యొక్క అవసరాన్ని తొలగిస్తుంది. ఈ ప్రత్యేక లక్షణం ఎండ్‌పాయింట్ డిటెక్షన్ మరియు రెస్పాన్స్ (EDR) సిస్టమ్‌లకు ఒక ముఖ్యమైన సవాలుగా ఉందని పరిశోధకులు హైలైట్ చేసారు, ఎందుకంటే ఇది వారు గుర్తించాల్సిన సాధారణ నమూనాల నుండి వైదొలిగింది. ClickOnce అని పిలువబడే చట్టబద్ధమైన విజువల్ స్టూడియో విస్తరణ సాంకేతికతను ప్రభావితం చేసే పద్ధతి యొక్క మరొక ఇటీవలి వెల్లడి తర్వాత ఈ ఫలితాలు వెలువడ్డాయి. ఈ పద్ధతి బెదిరింపు నటులను ఏకపక్ష కోడ్ అమలును సాధించడానికి మరియు ప్రారంభ ప్రాప్యతను పొందేందుకు వీలు కల్పిస్తుంది, అధునాతన దాడి పద్ధతుల యొక్క అభివృద్ధి చెందుతున్న ప్రకృతి దృశ్యాన్ని నొక్కి చెబుతుంది.