Alaycı Kuş İşlem Enjeksiyon Tekniği, Kötü Amaçlı Yazılımların Tespitten Kurtulması İçin Zor Bir Yöntem Olarak Ortaya Çıktı
Mockingjay adlı son teknoloji bir süreç enjeksiyon tekniği ortaya çıktı ve tehdit aktörlerinin güvenlik önlemlerini aşması ve güvenliği ihlal edilmiş sistemlerde bozuk bir kod yürütmesi için potansiyel bir yol sunuyor. Güvenlik araştırmacıları, enjeksiyon sırasında alan tahsisi, izin ayarları veya iş parçacığı başlatma ihtiyacını ortadan kaldıran bu tekniği belirlediler. The Hacker News ile paylaştıkları rapora göre, Mockingjay'in ayırt edici özelliği, savunmasız bir DLL'ye dayanması ve kodun uygun bölüme tam olarak yerleştirilmesidir.
İçindekiler
Proses Enjeksiyonu nedir?
İşlem enjeksiyonu, kötü niyetli aktörlerin bilgisayarda çalışan meşru bir işlemin bellek alanına kod eklemek ve yürütmek için kullandıkları teknik bir kötü amaçlı yazılımdır. Enjekte edilen kod genellikle yetkisiz erişime izin verir veya hedeflenen süreçte zararlı eylemler gerçekleştirerek genellikle güvenlik önlemlerini atlamayı ve fark edilmeden kalmayı amaçlar. İşlem enjeksiyon teknikleri, bir işlem üzerinde kontrol kazanmak ve davranışını manipüle etmek için işletim sistemindeki veya uygulamalardaki güvenlik açıklarından veya zayıflıklardan yararlanır. Standart işlem enjeksiyon yöntemleri, DLL, kod ve işlem boşaltmayı içerir.
Süreç enjeksiyon teknikleri çeşitlidir ve kötü amaçlı yazılımların veya kötü niyetli aktörlerin meşru süreçlere kod enjekte etmek için kullandıkları çeşitli yöntemleri kapsar. Öne çıkan bazı işlem enjeksiyon teknikleri, güvenliği ihlal edilmiş bir DLL'nin bir hedef işleme yüklendiği DLL enjeksiyonunu içerir; ayrı bir yürütülebilir dosyadan kod enjekte etmeyi içeren taşınabilir yürütülebilir enjeksiyon; meşru bir iş parçacığının yürütme akışının kötü bir koda yönlendirildiği iş parçacığı yürütme kaçırma; yasal bir sürecin oluşturulduğu ve daha sonra hatalı kodla değiştirildiği süreç boşaltma; ve güvenli olmayan bir süreç oluşturmak için dosya sistemi ve süreç özniteliklerinin manipüle edilmesini içeren süreç doppelgänging.
Her teknik, enjeksiyonu gerçekleştirmek için belirli sistem çağrılarına ve Windows API'lerine dayanır ve savunucuların etkili algılama ve hafifletme stratejileri geliştirmesine olanak tanır. Güvenlik uzmanları, bu enjeksiyon yöntemlerinin altında yatan mekanizmaları anlayarak, uygun karşı önlemleri tasarlayabilir ve sistemleri bu tür saldırılara karşı koruyabilir.
Alaycı Kuşun Eşsiz Özellikleri
Mockingjay, Okuma-Yazma-Yürütme (RWX) izinleriyle korunan bir bellek bloğu ile mevcut Windows taşınabilir yürütülebilir dosyalarını akıllıca kullanarak geleneksel güvenlik önlemlerini atlatarak kendisini diğerlerinden ayırır. Bu yenilikçi yaklaşım, genellikle güvenlik çözümleri tarafından izlenen izlenen Windows API'lerini tetikleme ihtiyacını ortadan kaldırır. Mockingjay, 16 KB'lik önemli bir kullanılabilir RWX alanı sunan msys-2.0.dll'den yararlanarak, güvenli olmayan kodu etkili bir şekilde gizler ve gizlice çalışır. Benzer özniteliklere sahip diğer savunmasız DLL'lerin potansiyel varlığını kabul etmek önemlidir.
Alaycı Kuş iki farklı yöntem kullanır; kod enjeksiyonunu kolaylaştırmak için kendi kendine enjeksiyon ve uzaktan işlem enjeksiyonu, gelişmiş saldırı etkinliği ve tespitten kaçınma ile sonuçlanır. Kendi kendine enjeksiyon tekniği, savunmasız DLL'nin doğrudan özel bir uygulamanın adres alanına yüklenmesini ve RWX bölümü aracılığıyla istenen kodun yürütülmesini sağlar. Öte yandan, uzak işlem enjeksiyonu, ssh.exe gibi uzak bir işlemde işlem enjeksiyonu gerçekleştirmek için güvenlik açığı bulunan DLL içindeki RWX bölümünü kullanır. Bu stratejiler, Mockingjay'in kod yürütmeyi gizlice manipüle etmesini sağlayarak tehdit aktörlerinin tespit önlemlerinden kaçmasını sağlar.
Uç Nokta Tespit ve Yanıt (EDR) Sistemleri için Zorluk
Geleneksel yaklaşımlardan farklı olarak, bu yenilikçi strateji, enjekte edilen kodun yürütülmesini başlatmak için hedef süreçte bellek tahsisi, izin ayarı veya iş parçacığı oluşturma ihtiyacını ortadan kaldırır. Araştırmacılar, bu benzersiz özelliğin, tespit etmeleri gereken tipik kalıplardan saptığı için Uç Nokta Tespiti ve Yanıtı (EDR) sistemleri için önemli bir zorluk oluşturduğunun altını çizdiler. Bu bulgular, ClickOnce adlı meşru Visual Studio dağıtım teknolojisinden yararlanan bir yöntemin yakın zamanda ortaya çıkarılmasından sonra ortaya çıkıyor. Bu yöntem, tehdit aktörlerinin rasgele kod yürütmesini ve ilk erişimi elde etmesini sağlayarak, gelişmiş saldırı tekniklerinin gelişen manzarasını vurgular.