Mockingjay 进程注入技术是恶意软件逃避检测的一种难以捉摸的方法

一种名为 Mockingjay 的尖端进程注入技术已经出现，为威胁行为者提供了逃避安全措施并在受感染系统上执行损坏代码的潜在途径。安全研究人员已经发现了这种技术，它可以避免注入期间的空间分配、权限设置或线程初始化的需要。根据他们与 The Hacker News 分享的报告，Mockingjay 的独特之处在于它依赖于易受攻击的 DLL 以及将代码精确放置在适当的部分中。

什么是进程注入？

进程注入是一种技术恶意软件，恶意行为者利用它在计算机上运行的合法进程的内存空间中插入和执行代码。注入的代码通常会授予未经授权的访问权限或在目标进程中执行有害操作，通常旨在绕过安全措施并保持不被发现。进程注入技术利用操作系统或应用程序中的漏洞或弱点来获得对进程的控制并操纵其行为。标准的进程注入方法包括DLL、代码和进程空洞。

进程注入技术多种多样，包含恶意软件或恶意行为者用来将代码注入合法进程的各种方法。一些著名的进程注入技术包括 DLL 注入，其中受感染的 DLL 被加载到目标进程中；可移植可执行注入，涉及从单独的可执行文件注入代码；线程执行劫持，将合法线程的执行流程重定向到错误代码；进程空洞，创建合法进程，然后用错误代码替换；进程双重攻击，涉及操纵文件系统和进程属性来创建不安全的进程。

每种技术都依赖于特定的系统调用和 Windows API 来执行注入，使防御者能够制定有效的检测和缓解策略。通过了解这些注入方法的底层机制，安全专业人员可以制定适当的对策并保护系统免受此类攻击。

Mockingjay 的独特特征

Mockingjay 巧妙地利用现有的 Windows 可移植可执行文件以及受读-写-执行 (RWX) 权限保护的内存块，从而规避传统的安全措施，从而脱颖而出。这种创新方法无需触发通常由安全解决方案监控的受监控 Windows API。通过利用 msys-2.0.dll（提供了 16 KB 的可用 RWX 空间），Mockingjay 有效隐藏了不安全代码并秘密运行。承认可能存在具有类似属性的其他易受攻击的 DLL 至关重要。

Mockingjay 采用两种不同的方法；自注入和远程进程注入，方便代码注入，从而增强攻击效率和逃避检测。自注入技术涉及将易受攻击的 DLL 直接加载到自定义应用程序的地址空间中，从而能够通过 RWX 部分执行所需的代码。另一方面，远程进程注入利用易受攻击的 DLL 中的 RWX 部分在远程进程（如 ssh.exe）中执行进程注入。这些策略使 Mockingjay 能够秘密地操纵代码执行，从而使威胁行为者能够逃避检测措施。

端点检测和响应 (EDR) 系统面临的挑战

与传统方法不同，这种创新策略无需在目标进程内进行内存分配、权限设置或线程创建来启动注入代码的执行。研究人员强调，这一独特的功能给端点检测和响应（EDR）系统带来了重大挑战，因为它偏离了它们应该检测的典型模式。这些发现是在最近披露了一种利用名为 ClickOnce 的合法 Visual Studio 部署技术的方法之后出现的。这种方法使威胁行为者能够实现任意代码执行并获得初始访问权限，强调了复杂攻击技术的不断发展。