Техніка впровадження процесу Mockingjay представлена як невловимий метод для ухилення від виявлення шкідливих програм
З’явилася передова техніка ін’єкції процесів під назвою Mockingjay, яка є потенційною можливістю для зловмисників уникнути заходів безпеки та виконати пошкоджений код у скомпрометованих системах. Дослідники безпеки виявили цю техніку, яка обходить потребу у розподілі простору, налаштуваннях дозволів або ініціалізації потоку під час впровадження. Згідно з їхнім звітом, який поділився з The Hacker News, відмінність Mockingjay полягає в тому, що він використовує вразливу DLL і точне розміщення коду у відповідному розділі.
Зміст
Що таке впровадження процесу?
Впровадження процесу — це технічне зловмисне програмне забезпечення, яке зловмисники використовують для вставки та виконання коду в пам’яті законного процесу, запущеного на комп’ютері. Введений код зазвичай надає несанкціонований доступ або виконує шкідливі дії в цільовому процесі, часто з метою обійти заходи безпеки та залишитися непоміченими. Методи впровадження процесів використовують вразливі місця або слабкі місця в операційній системі чи програмах, щоб отримати контроль над процесом і маніпулювати його поведінкою. Стандартні методи впровадження процесів включають DLL, код і процес hollowing.
Техніки впровадження процесів різноманітні й охоплюють різноманітні методи, які використовують зловмисне програмне забезпечення або погано орієнтовані актори для впровадження коду в законні процеси. Деякі відомі методи ін’єкції процесу включають ін’єкцію DLL, коли скомпрометована DLL завантажується в цільовий процес; portable executable injection, що передбачає введення коду з окремого виконуваного файлу; викрадення виконання потоку, коли потік виконання законного потоку перенаправляється на поганий код; випорожнення процесу, коли створюється законний процес, а потім замінюється поганим кодом; і дублювання процесів, що передбачає маніпулювання файловою системою та атрибутами процесу для створення небезпечного процесу.
Кожен метод покладається на певні системні виклики та Windows API для виконання ін’єкції, що дозволяє захисникам розробляти ефективні стратегії виявлення та пом’якшення. Розуміючи механізми, що лежать в основі цих методів ін’єкцій, спеціалісти з безпеки можуть розробити відповідні контрзаходи та системи захисту від таких атак.
Унікальні риси сойки-пересмішниці
Mockingjay вирізняється тим, що обходить традиційні заходи безпеки, вміло використовуючи наявні портативні виконувані файли Windows із блоком пам’яті, захищеним дозволами читання-запису-виконання (RWX). Цей інноваційний підхід усуває необхідність запускати контрольовані API Windows, які зазвичай контролюються рішеннями безпеки. Використовуючи msys-2.0.dll, який пропонує значні 16 Кб доступного простору RWX, Mockingjay ефективно приховує небезпечний код і працює приховано. Важливо визнати потенційне існування інших уразливих DLL із подібними атрибутами.
Сойка-пересмішниця використовує два різні методи; самоін'єкція та віддалена ін'єкція процесу, щоб полегшити ін'єкцію коду, що призводить до підвищення ефективності атаки та ухилення від виявлення. Техніка самоін’єкції передбачає пряме завантаження вразливої DLL в адресний простір спеціальної програми, що дозволяє виконувати потрібний код через розділ RWX. З іншого боку, ін’єкція віддаленого процесу використовує розділ RWX у вразливій DLL для виконання ін’єкції процесу у віддаленому процесі, наприклад ssh.exe. Ці стратегії дозволяють Mockingjay непомітно маніпулювати виконанням коду, дозволяючи суб’єктам загрози уникати заходів виявлення.
Виклик для систем виявлення та реагування на кінцеві точки (EDR).
На відміну від традиційних підходів, ця інноваційна стратегія усуває необхідність у виділенні пам’яті, налаштуванні дозволів або створенні потоку в цільовому процесі для ініціювання виконання впровадженого коду. Дослідники підкреслили, що ця унікальна функція створює значну проблему для систем виявлення та реагування кінцевих точок (EDR), оскільки вона відхиляється від типових шаблонів, які вони повинні виявляти. Ці висновки з’явилися після ще одного нещодавнього відкриття методу ClickOnce, що використовує законну технологію розгортання Visual Studio. Цей метод дозволяє суб’єктам загроз виконувати довільний код і отримувати початковий доступ, підкреслюючи розвиток складних методів атак.