Ang Mockingjay Process Injection Technique ay Inihayag bilang Isang Mailap na Paraan para sa Malware na Umiiwas sa Detection
Lumitaw ang isang makabagong pamamaraan ng pag-iniksyon ng proseso na tinatawag na Mockingjay, na nagpapakita ng isang potensyal na paraan para sa mga banta ng aktor upang maiwasan ang mga hakbang sa seguridad at magsagawa ng isang sirang code sa mga nakompromisong system. Natukoy ng mga mananaliksik sa seguridad ang diskarteng ito, na umiiwas sa pangangailangan para sa paglalaan ng espasyo, mga setting ng pahintulot, o pagsisimula ng thread sa panahon ng iniksyon. Ayon sa kanilang ulat na ibinahagi sa The Hacker News, ang pagkakaiba ng Mockingjay ay nakasalalay sa pag-asa nito sa isang mahinang DLL at ang tumpak na paglalagay ng code sa loob ng naaangkop na seksyon.
Talaan ng mga Nilalaman
Ano ang Process Injection?
Ang process injection ay isang teknikal na malware, na ginagamit ng mga masasamang pag-iisip na aktor para magpasok at magsagawa ng code sa loob ng memory space ng isang lehitimong proseso na tumatakbo sa isang computer. Ang na-inject na code ay karaniwang nagbibigay ng hindi awtorisadong pag-access o nagsasagawa ng mga nakakapinsalang aksyon sa loob ng naka-target na proseso, kadalasang naglalayong i-bypass ang mga hakbang sa seguridad at manatiling hindi natukoy. Sinasamantala ng mga diskarte sa pag-iniksyon ng proseso ang mga kahinaan o kahinaan sa operating system o mga application upang makakuha ng kontrol sa isang proseso at manipulahin ang pag-uugali nito. Kasama sa mga karaniwang paraan ng pag-iniksyon ng proseso ang DLL, code, at process hollowing.
Ang mga diskarte sa pag-iniksyon ng proseso ay magkakaiba at sumasaklaw sa iba't ibang mga pamamaraan na ginagamit ng mga malware o hindi nakatuong aktor upang mag-inject ng code sa mga lehitimong proseso. Ang ilang kilalang pamamaraan ng pag-iniksyon sa proseso ay kinabibilangan ng DLL injection, kung saan ang isang nakompromisong DLL ay na-load sa isang target na proseso; portable executable injection, na kinabibilangan ng pag-inject ng code mula sa isang hiwalay na executable file; thread execution hijacking, kung saan ang execution flow ng isang lehitimong thread ay na-redirect sa isang masamang code; proseso hollowing, kung saan ang isang lehitimong proseso ay nilikha at pagkatapos ay pinalitan ng masamang code; at proseso ng doppelgänging, na kinabibilangan ng pagmamanipula sa file system at mga katangian ng proseso upang lumikha ng hindi ligtas na proseso.
Ang bawat diskarte ay umaasa sa mga partikular na tawag sa system at Windows API upang maisagawa ang iniksyon, na nagbibigay-daan sa mga tagapagtanggol na bumuo ng mga epektibong diskarte sa pagtuklas at pagpapagaan. Sa pamamagitan ng pag-unawa sa pinagbabatayan ng mga mekanismo ng mga paraan ng pag-iniksyon na ito, ang mga propesyonal sa seguridad ay makakagawa ng naaangkop na mga hakbang sa pag-iwas at mga sistema ng pangangalaga laban sa mga naturang pag-atake.
Ang Mga Natatanging Katangian ni Mockingjay
Ibinubukod ni Mockingjay ang sarili sa pamamagitan ng pag-iwas sa mga tradisyunal na hakbang sa seguridad sa pamamagitan ng matalinong paggamit ng mga umiiral nang Windows portable executable file na may memory block na protektado ng mga pahintulot na Read-Write-Execute (RWX). Inalis ng makabagong diskarte na ito ang pangangailangang mag-trigger ng mga sinusubaybayang Windows API na karaniwang sinusubaybayan ng mga solusyon sa seguridad. Sa pamamagitan ng paggamit ng msys-2.0.dll, na nag-aalok ng malaking 16 KB ng available na RWX space, epektibong itinatago ng Mockingjay ang hindi ligtas na code at nagpapatakbo nang patago. Ang pagkilala sa potensyal na pagkakaroon ng iba pang mga vulnerable na DLL na may katulad na mga katangian ay mahalaga.
Gumagamit si Mockingjay ng dalawang natatanging pamamaraan; self-injection, at remote process injection, upang mapadali ang code injection, na nagreresulta sa pinahusay na pagiging epektibo ng pag-atake at pag-iwas sa pagtuklas. Ang pamamaraan ng self-injection ay nagsasangkot ng direktang pag-load ng vulnerable DLL sa address space ng isang custom na application, na nagpapagana sa pagpapatupad ng gustong code sa pamamagitan ng seksyong RWX. Sa kabilang banda, ginagamit ng remote process injection ang RWX section sa loob ng vulnerable DLL para magsagawa ng process injection sa isang remote na proseso tulad ng ssh.exe. Ang mga estratehiyang ito ay nagbibigay-daan kay Mockingjay na manipulahin ang pagpapatupad ng code nang palihim, na nagbibigay-daan sa mga aktor ng pagbabanta na umiwas sa mga hakbang sa pagtuklas.
Isang Hamon para sa Endpoint Detection and Response (EDR) Systems
Hindi tulad ng mga tradisyunal na diskarte, ang makabagong diskarte na ito ay nag-aalis ng pangangailangan para sa paglalaan ng memorya, setting ng pahintulot, o paggawa ng thread sa loob ng target na proseso upang simulan ang pagpapatupad ng injected code. Binigyang-diin ng mga mananaliksik na ang natatanging tampok na ito ay nagdudulot ng malaking hamon para sa mga sistema ng Endpoint Detection and Response (EDR), dahil lumilihis ito sa mga tipikal na pattern na dapat nilang makita. Lumitaw ang mga natuklasang ito pagkatapos ng isa pang kamakailang paghahayag ng isang paraan na gumagamit ng lehitimong teknolohiya sa pag-deploy ng Visual Studio na tinatawag na ClickOnce. Ang pamamaraang ito ay nagbibigay-daan sa mga aktor ng pagbabanta na makamit ang arbitrary na pagpapatupad ng code at makakuha ng paunang pag-access, na nagbibigay-diin sa umuusbong na tanawin ng mga sopistikadong diskarte sa pag-atake.