Mockingjay 進程注入技術成為惡意軟件逃避檢測的一種難以捉摸的方法

一種名為 Mockingjay 的尖端進程注入技術已經出現，為威脅行為者提供了逃避安全措施並在受感染系統上執行損壞代碼的潛在途徑。安全研究人員已經發現了這種技術，它可以避免注入期間的空間分配、權限設置或線程初始化的需要。根據他們與 The Hacker News 分享的報告，Mockingjay 的獨特之處在於它依賴於易受攻擊的 DLL 以及將代碼精確放置在適當的部分中。

什麼是進程注入？

進程注入是一種技術惡意軟件，惡意行為者利用它在計算機上運行的合法進程的內存空間中插入和執行代碼。注入的代碼通常會授予未經授權的訪問權限或在目標進程中執行有害操作，通常旨在繞過安全措施並保持不被發現。進程注入技術利用操作系統或應用程序中的漏洞或弱點來獲得對進程的控制並操縱其行為。標準的進程注入方法包括DLL、代碼和進程空洞。

進程注入技術多種多樣，包含惡意軟件或惡意行為者用來將代碼注入合法進程的各種方法。一些著名的進程注入技術包括 DLL 注入，其中受感染的 DLL 被加載到目標進程中；可移植可執行注入，涉及從單獨的可執行文件注入代碼；線程執行劫持，將合法線程的執行流程重定向到錯誤代碼；進程空洞，創建合法進程，然後用錯誤代碼替換；進程雙重攻擊，涉及操縱文件系統和進程屬性來創建不安全的進程。

每種技術都依賴於特定的系統調用和 Windows API 來執行注入，使防御者能夠制定有效的檢測和緩解策略。通過了解這些注入方法的底層機制，安全專業人員可以製定適當的對策並保護系統免受此類攻擊。

Mockingjay 的獨特特徵

Mockingjay 巧妙地利用現有的 Windows 可移植可執行文件以及受讀-寫-執行 (RWX) 權限保護的內存塊，從而規避傳統的安全措施，從而脫穎而出。這種創新方法無需觸發通常由安全解決方案監控的受監控 Windows API。通過利用 msys-2.0.dll（提供了 16 KB 的可用 RWX 空間），Mockingjay 有效隱藏了不安全代碼並秘密運行。承認可能存在具有類似屬性的其他易受攻擊的 DLL 至關重要。

Mockingjay 採用兩種不同的方法；自註入和遠程進程注入，方便代碼注入，從而增強攻擊效率和逃避檢測。自註入技術涉及將易受攻擊的 DLL 直接加載到自定義應用程序的地址空間中，從而能夠通過 RWX 部分執行所需的代碼。另一方面，遠程進程注入利用易受攻擊的 DLL 中的 RWX 部分在遠程進程（如 ssh.exe）中執行進程注入。這些策略使 Mockingjay 能夠秘密地操縱代碼執行，從而使威脅行為者能夠逃避檢測措施。

端點檢測和響應 (EDR) 系統面臨的挑戰

與傳統方法不同，這種創新策略無需在目標進程內進行內存分配、權限設置或線程創建來啟動注入代碼的執行。研究人員強調，這一獨特的功能給端點檢測和響應（EDR）系統帶來了重大挑戰，因為它偏離了它們應該檢測的典型模式。這些發現是在最近披露了一種利用名為 ClickOnce 的合法 Visual Studio 部署技術的方法之後出現的。這種方法使威脅行為者能夠實現任意代碼執行並獲得初始訪問權限，強調了複雜攻擊技術的不斷發展。