Kỹ thuật chèn quy trình Mockingjay được tiết lộ là một phương pháp khó nắm bắt để phần mềm độc hại trốn tránh sự phát hiện
Một kỹ thuật chèn quy trình tiên tiến có tên là Mockingjay đã xuất hiện, tạo ra một con đường tiềm năng cho những kẻ đe dọa trốn tránh các biện pháp bảo mật và thực thi mã bị hỏng trên các hệ thống bị xâm nhập. Các nhà nghiên cứu bảo mật đã xác định được kỹ thuật này, giúp loại bỏ nhu cầu phân bổ không gian, cài đặt quyền hoặc khởi tạo luồng trong quá trình tiêm. Theo báo cáo của họ được chia sẻ với The Hacker News, điểm khác biệt của Mockingjay nằm ở chỗ nó dựa vào một DLL dễ bị tổn thương và vị trí chính xác của mã trong phần thích hợp.
Mục lục
Quy trình tiêm là gì?
Chèn quy trình là một phần mềm độc hại kỹ thuật mà những kẻ xấu sử dụng để chèn và thực thi mã trong không gian bộ nhớ của một quy trình hợp pháp đang chạy trên máy tính. Mã được đưa vào thường cấp quyền truy cập trái phép hoặc thực hiện các hành động có hại trong quy trình được nhắm mục tiêu, thường nhằm mục đích bỏ qua các biện pháp bảo mật và không bị phát hiện. Các kỹ thuật chèn quy trình khai thác các lỗ hổng hoặc điểm yếu trong hệ điều hành hoặc ứng dụng để giành quyền kiểm soát một quy trình và thao túng hành vi của nó. Các phương pháp chèn quy trình tiêu chuẩn bao gồm DLL, mã và làm rỗng quy trình.
Các kỹ thuật đưa mã vào quy trình rất đa dạng và bao gồm nhiều phương pháp mà phần mềm độc hại hoặc các tác nhân xấu sử dụng để đưa mã vào các quy trình hợp pháp. Một số kỹ thuật tiêm quy trình nổi bật bao gồm tiêm DLL, trong đó một DLL bị xâm phạm được tải vào một quy trình đích; khả năng tiêm thực thi di động, bao gồm việc tiêm mã từ một tệp thực thi riêng biệt; chiếm quyền thực thi luồng, trong đó luồng thực thi của luồng hợp pháp được chuyển hướng đến một mã xấu; làm rỗng quy trình, trong đó một quy trình hợp pháp được tạo ra và sau đó được thay thế bằng mã xấu; và quá trình doppelgänging, bao gồm việc thao túng hệ thống tệp và các thuộc tính của quá trình để tạo ra một quá trình không an toàn.
Mỗi kỹ thuật dựa trên các lệnh gọi hệ thống cụ thể và API Windows để thực hiện việc tiêm, cho phép những người bảo vệ phát triển các chiến lược phát hiện và giảm thiểu hiệu quả. Bằng cách hiểu các cơ chế cơ bản của các phương pháp tiêm này, các chuyên gia bảo mật có thể đưa ra các biện pháp đối phó thích hợp và bảo vệ hệ thống chống lại các cuộc tấn công như vậy.
Những đặc điểm độc đáo của Mockingjay
Mockingjay tạo nên sự khác biệt bằng cách phá vỡ các biện pháp bảo mật truyền thống bằng cách sử dụng khéo léo các tệp thực thi di động hiện có của Windows với khối bộ nhớ được bảo vệ bằng quyền Đọc-Ghi-Thực thi (RWX). Cách tiếp cận sáng tạo này giúp loại bỏ nhu cầu kích hoạt API Windows được giám sát thường được giám sát bởi các giải pháp bảo mật. Bằng cách tận dụng msys-2.0.dll, cung cấp 16 KB đáng kể dung lượng RWX khả dụng, Mockingjay che giấu hiệu quả mã không an toàn và hoạt động bí mật. Thừa nhận sự tồn tại tiềm ẩn của các DLL dễ bị tấn công khác với các thuộc tính tương tự là điều cần thiết.
Mockingjay sử dụng hai phương pháp riêng biệt; tự tiêm và tiêm quy trình từ xa, để tạo điều kiện cho việc tiêm mã, giúp nâng cao hiệu quả tấn công và tránh bị phát hiện. Kỹ thuật tự chèn liên quan đến việc tải trực tiếp tệp DLL dễ bị tổn thương vào không gian địa chỉ của một ứng dụng tùy chỉnh, cho phép thực thi mã mong muốn thông qua phần RWX. Mặt khác, quá trình chèn từ xa sử dụng phần RWX trong tệp DLL dễ bị tấn công để thực hiện quá trình chèn vào một quy trình từ xa như ssh.exe. Các chiến lược này cho phép Húng nhại thao túng việc thực thi mã một cách lén lút, giúp các tác nhân đe dọa trốn tránh các biện pháp phát hiện.
Thách thức đối với các hệ thống phát hiện và phản hồi điểm cuối (EDR)
Không giống như các phương pháp truyền thống, chiến lược đổi mới này loại bỏ nhu cầu cấp phát bộ nhớ, cài đặt quyền hoặc tạo luồng trong quy trình đích để bắt đầu thực thi mã được đưa vào. Các nhà nghiên cứu nhấn mạnh rằng tính năng độc đáo này đặt ra một thách thức đáng kể đối với các hệ thống Phát hiện và Phản hồi Điểm cuối (EDR), vì nó khác với các mẫu điển hình mà chúng nên phát hiện. Những phát hiện này xuất hiện sau một tiết lộ khác gần đây về một phương pháp tận dụng công nghệ triển khai Visual Studio hợp pháp có tên là ClickOnce. Phương pháp này cho phép các tác nhân đe dọa đạt được khả năng thực thi mã tùy ý và giành quyền truy cập ban đầu, nhấn mạnh bối cảnh đang phát triển của các kỹ thuật tấn công tinh vi.