Die Mockingjay-Process-Injection-Technik wurde als schwer fassbare Methode für Malware enthüllt, um der Erkennung zu entgehen
Es ist eine hochmoderne Process-Injection-Technik namens Mockingjay aufgetaucht, die Bedrohungsakteuren eine potenzielle Möglichkeit bietet, Sicherheitsmaßnahmen zu umgehen und einen beschädigten Code auf kompromittierten Systemen auszuführen. Sicherheitsforscher haben diese Technik identifiziert, die die Notwendigkeit einer Speicherplatzzuweisung, Berechtigungseinstellungen oder Thread-Initialisierung während der Injektion umgeht. Laut ihrem mit The Hacker News geteilten Bericht liegt die Besonderheit von Mockingjay darin, dass es sich auf eine anfällige DLL und die präzise Platzierung des Codes im entsprechenden Abschnitt verlässt.
Inhaltsverzeichnis
Was ist eine Prozessinjektion?
Bei der Prozessinjektion handelt es sich um eine technische Malware, mit der böswillige Akteure Code in den Speicher eines legitimen Prozesses einfügen und ausführen, der auf einem Computer ausgeführt wird. Der eingeschleuste Code gewährt typischerweise unbefugten Zugriff oder führt schädliche Aktionen innerhalb des Zielprozesses aus, oft mit dem Ziel, Sicherheitsmaßnahmen zu umgehen und unentdeckt zu bleiben. Process-Injection-Techniken nutzen Schwachstellen im Betriebssystem oder in Anwendungen aus, um die Kontrolle über einen Prozess zu erlangen und sein Verhalten zu manipulieren. Zu den Standardmethoden der Prozessinjektion gehören DLL, Code und Process Hollowing.
Process-Injection-Techniken sind vielfältig und umfassen verschiedene Methoden, die Malware oder schlecht orientierte Akteure einsetzen, um Code in legitime Prozesse einzuschleusen. Zu den bekanntesten Prozessinjektionstechniken gehört die DLL-Injektion, bei der eine kompromittierte DLL in einen Zielprozess geladen wird. tragbare ausführbare Injektion, bei der Code aus einer separaten ausführbaren Datei eingefügt wird; Thread-Ausführungs-Hijacking, bei dem der Ausführungsfluss eines legitimen Threads auf einen fehlerhaften Code umgeleitet wird; Process Hollowing, bei dem ein legitimer Prozess erstellt und dann durch fehlerhaften Code ersetzt wird; und Prozessdoppelgänge, bei denen das Dateisystem und die Prozessattribute manipuliert werden, um einen unsicheren Prozess zu erstellen.
Jede Technik basiert auf spezifischen Systemaufrufen und Windows-APIs, um die Injektion durchzuführen, sodass Verteidiger wirksame Erkennungs- und Schadensbegrenzungsstrategien entwickeln können. Durch das Verständnis der zugrunde liegenden Mechanismen dieser Injektionsmethoden können Sicherheitsexperten geeignete Gegenmaßnahmen entwickeln und Systeme vor solchen Angriffen schützen.
Die einzigartigen Eigenschaften von Mockingjay
Mockingjay zeichnet sich dadurch aus, dass es herkömmliche Sicherheitsmaßnahmen umgeht, indem es vorhandene tragbare ausführbare Windows-Dateien geschickt mit einem Speicherblock nutzt, der mit RWX-Berechtigungen (Read-Write-Execute) geschützt ist. Durch diesen innovativen Ansatz entfällt die Notwendigkeit, überwachte Windows-APIs auszulösen, die normalerweise von Sicherheitslösungen überwacht werden. Durch die Nutzung von msys-2.0.dll, die beachtliche 16 KB verfügbaren RWX-Speicherplatz bietet, verbirgt Mockingjay effektiv unsicheren Code und agiert im Verborgenen. Es ist wichtig, die potenzielle Existenz anderer anfälliger DLLs mit ähnlichen Attributen anzuerkennen.
Mockingjay verwendet zwei unterschiedliche Methoden; Selbstinjektion und Remote-Prozessinjektion, um die Codeinjektion zu erleichtern, was zu einer verbesserten Angriffseffektivität und einer Umgehung der Erkennung führt. Bei der Selbstinjektionstechnik wird die anfällige DLL direkt in den Adressraum einer benutzerdefinierten Anwendung geladen, wodurch die Ausführung des gewünschten Codes über den RWX-Abschnitt ermöglicht wird. Andererseits nutzt die Remote-Prozessinjektion den RWX-Abschnitt innerhalb der anfälligen DLL, um eine Prozessinjektion in einem Remote-Prozess wie ssh.exe durchzuführen. Diese Strategien ermöglichen es Mockingjay, die Codeausführung heimlich zu manipulieren, sodass Bedrohungsakteure Erkennungsmaßnahmen umgehen können.
Eine Herausforderung für Endpoint Detection and Response (EDR)-Systeme
Im Gegensatz zu herkömmlichen Ansätzen ist bei dieser innovativen Strategie keine Speicherzuweisung, Berechtigungseinstellung oder Thread-Erstellung innerhalb des Zielprozesses erforderlich, um die Ausführung des injizierten Codes zu initiieren. Die Forscher betonten, dass diese einzigartige Funktion eine erhebliche Herausforderung für Endpoint Detection and Response (EDR)-Systeme darstellt, da sie von den typischen Mustern abweicht, die sie erkennen sollten. Diese Erkenntnisse ergeben sich nach einer weiteren kürzlichen Enthüllung einer Methode namens ClickOnce, die die legitime Visual Studio-Bereitstellungstechnologie nutzt. Diese Methode ermöglicht es Bedrohungsakteuren, willkürlichen Code auszuführen und ersten Zugriff zu erhalten, was die sich entwickelnde Landschaft ausgefeilter Angriffstechniken unterstreicht.