เผยโฉม Mockingjay Process Injection Technique เป็นวิธีการที่เข้าใจยากสำหรับมัลแวร์ในการหลบเลี่ยงการตรวจจับ
เทคนิคการแทรกกระบวนการที่ทันสมัยที่เรียกว่า Mockingjay ได้เกิดขึ้นแล้ว นำเสนอช่องทางที่เป็นไปได้สำหรับผู้คุกคามในการหลบเลี่ยงมาตรการรักษาความปลอดภัยและเรียกใช้รหัสที่เสียหายบนระบบที่ถูกบุกรุก นักวิจัยด้านความปลอดภัยได้ระบุเทคนิคนี้ ซึ่งหลีกเลี่ยงความจำเป็นในการจัดสรรพื้นที่ การตั้งค่าสิทธิ์ หรือการเริ่มต้นเธรดระหว่างการฉีด ตามรายงานของพวกเขาที่แบ่งปันกับ The Hacker News ความโดดเด่นของ Mockingjay อยู่ที่การพึ่งพา DLL ที่มีช่องโหว่และการจัดวางโค้ดอย่างแม่นยำในส่วนที่เหมาะสม
สารบัญ
กระบวนการฉีดคืออะไร?
Process Inject เป็นมัลแวร์ทางเทคนิคที่ผู้ประสงค์ร้ายใช้เพื่อแทรกและเรียกใช้โค้ดภายในพื้นที่หน่วยความจำของกระบวนการที่ถูกต้องซึ่งทำงานบนคอมพิวเตอร์ โดยทั่วไปแล้วโค้ดที่ใส่เข้าไปจะให้สิทธิ์การเข้าถึงโดยไม่ได้รับอนุญาตหรือดำเนินการที่เป็นอันตรายภายในกระบวนการที่เป็นเป้าหมาย ซึ่งมักจะมีเป้าหมายเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยและยังคงตรวจไม่พบ เทคนิคการฉีดกระบวนการใช้ประโยชน์จากช่องโหว่หรือจุดอ่อนในระบบปฏิบัติการหรือแอปพลิเคชันเพื่อควบคุมกระบวนการและปรับเปลี่ยนพฤติกรรม วิธีการแทรกกระบวนการมาตรฐานประกอบด้วย DLL, โค้ด และการเจาะกระบวนการ
เทคนิคการแทรกกระบวนการมีความหลากหลายและครอบคลุมวิธีการต่างๆ ที่มัลแวร์หรือผู้ไม่หวังดีใช้เพื่อแทรกโค้ดเข้าไปในกระบวนการที่ถูกต้องตามกฎหมาย เทคนิคการแทรกกระบวนการที่โดดเด่นบางอย่าง ได้แก่ การแทรก DLL ซึ่งมีการโหลด DLL ที่ถูกบุกรุกเข้าสู่กระบวนการเป้าหมาย การฉีดปฏิบัติการแบบพกพาซึ่งเกี่ยวข้องกับการแทรกโค้ดจากไฟล์เรียกทำงานแยกต่างหาก การจี้การดำเนินการของเธรด ซึ่งขั้นตอนการดำเนินการของเธรดที่ถูกต้องถูกเปลี่ยนเส้นทางไปยังโค้ดที่ไม่ถูกต้อง กระบวนการกลวงซึ่งกระบวนการที่ถูกต้องถูกสร้างขึ้นแล้วแทนที่ด้วยโค้ดที่ไม่ถูกต้อง และประมวลผลด็อปเปิลแกง ซึ่งเกี่ยวข้องกับการจัดการระบบไฟล์และคุณสมบัติของกระบวนการเพื่อสร้างกระบวนการที่ไม่ปลอดภัย
แต่ละเทคนิคอาศัยการเรียกใช้ระบบและ API ของ Windows ที่เฉพาะเจาะจงเพื่อดำเนินการฉีด ทำให้ผู้ป้องกันสามารถพัฒนากลยุทธ์การตรวจจับและการลดผลกระทบที่มีประสิทธิภาพ ด้วยการทำความเข้าใจกลไกพื้นฐานของวิธีการฉีดเหล่านี้ ผู้เชี่ยวชาญด้านความปลอดภัยสามารถกำหนดมาตรการตอบโต้ที่เหมาะสมและป้องกันระบบจากการโจมตีดังกล่าวได้
ลักษณะเฉพาะของม็อกกิ้งเจย์
ม็อกกิ้งเจย์สร้างความแตกต่างด้วยการหลีกเลี่ยงมาตรการรักษาความปลอดภัยแบบดั้งเดิมโดยใช้ไฟล์เรียกทำงานแบบพกพาของ Windows ที่มีอยู่อย่างชาญฉลาดพร้อมบล็อกหน่วยความจำที่ป้องกันด้วยสิทธิ์อ่าน-เขียน-ดำเนินการ (RWX) วิธีการที่เป็นนวัตกรรมใหม่นี้ช่วยขจัดความจำเป็นในการเรียกใช้ Windows API ที่ได้รับการตรวจสอบซึ่งโดยปกติแล้วจะถูกตรวจสอบโดยโซลูชันการรักษาความปลอดภัย ด้วยการใช้ประโยชน์จาก msys-2.0.dll ซึ่งให้พื้นที่ RWX ที่มีอยู่มาก 16 KB ทำให้ Mockingjay ปกปิดรหัสที่ไม่ปลอดภัยได้อย่างมีประสิทธิภาพและดำเนินการอย่างลับๆ การยอมรับการมีอยู่ของ DLLs ที่มีช่องโหว่อื่น ๆ ที่มีแอตทริบิวต์ที่คล้ายคลึงกันเป็นสิ่งสำคัญ
ม็อกกิ้งเจย์ใช้สองวิธีที่แตกต่างกัน self-injection และ remote process injection เพื่ออำนวยความสะดวกในการแทรกโค้ด ส่งผลให้ประสิทธิภาพการโจมตีดีขึ้นและการหลบเลี่ยงการตรวจจับ เทคนิคการฉีดตัวเองเกี่ยวข้องกับการโหลด DLL ที่มีช่องโหว่โดยตรงไปยังพื้นที่ที่อยู่ของแอปพลิเคชันที่กำหนดเอง ทำให้สามารถเรียกใช้โค้ดที่ต้องการผ่านส่วน RWX ในทางกลับกัน การแทรกกระบวนการระยะไกลใช้ส่วน RWX ภายใน DLL ที่มีช่องโหว่เพื่อดำเนินการฉีดกระบวนการในกระบวนการระยะไกล เช่น ssh.exe กลยุทธ์เหล่านี้ช่วยให้ม็อกกิ้งเจย์จัดการกับการเรียกใช้โค้ดอย่างลับๆ ล่อๆ ทำให้ผู้คุกคามสามารถหลบเลี่ยงมาตรการตรวจจับได้
ความท้าทายสำหรับระบบตรวจจับและตอบสนองปลายทาง (EDR)
กลยุทธ์ที่เป็นนวัตกรรมใหม่นี้แตกต่างจากวิธีการแบบเดิม ขจัดความจำเป็นในการจัดสรรหน่วยความจำ การตั้งค่าสิทธิ์ หรือการสร้างเธรดภายในกระบวนการเป้าหมายเพื่อเริ่มต้นการดำเนินการของโค้ดที่แทรก นักวิจัยได้เน้นย้ำว่าคุณลักษณะเฉพาะนี้เป็นความท้าทายที่สำคัญสำหรับระบบ Endpoint Detection and Response (EDR) เนื่องจากมันเบี่ยงเบนไปจากรูปแบบทั่วไปที่ควรตรวจจับ การค้นพบนี้เกิดขึ้นหลังจากการเปิดเผยล่าสุดอีกครั้งของวิธีการที่ใช้ประโยชน์จากเทคโนโลยีการปรับใช้ Visual Studio ที่ถูกต้องที่เรียกว่า ClickOnce วิธีนี้ช่วยให้ผู้คุกคามบรรลุผลสำเร็จของการใช้รหัสโดยอำเภอใจและเข้าถึงเบื้องต้นได้ โดยเน้นย้ำถึงแนวการพัฒนาของเทคนิคการโจมตีที่ซับซ้อน