A Técnica de Injeção de Processo Mockingjay é Revelada como um Método Indescritível para o Malware Escapar da Detecção
Uma técnica de injeção de processo de ponta chamada Mockingjay surgiu, apresentando um caminho potencial para os agentes de ameaças escaparem das medidas de segurança e executarem um código corrompido em sistemas comprometidos. Pesquisadores de segurança identificaram essa técnica, que contorna a necessidade de alocação de espaço, configurações de permissão ou inicialização de encadeamento durante a injeção. De acordo com o relatório compartilhado com o The Hacker News, a distinção de Mockingjay reside em sua dependência de uma DLL vulnerável e no posicionamento preciso do código na seção apropriada.
Índice
O Que é uma Injeção de Processo?
A injeção de processo é um malware técnico que agentes mal-intencionados usam para inserir e executar código no espaço de memória de um processo legítimo em execução em um computador. O código injetado geralmente concede acesso não autorizado ou executa ações prejudiciais dentro do processo de destino, geralmente com o objetivo de contornar as medidas de segurança e permanecer indetectável. As técnicas de injeção de processo exploram vulnerabilidades ou pontos fracos no sistema operacional ou aplicativos para obter controle sobre um processo e manipular seu comportamento. Os métodos de injeção de processo padrão incluem DLL, código e esvaziamento de processo.
As técnicas de injeção de processos são diversas e abrangem vários métodos que malware ou atores mal orientados empregam para injetar código em processos legítimos. Algumas técnicas de injeção de processo proeminentes incluem injeção de DLL, onde uma DLL comprometida é carregada em um processo de destino; injeção executável portátil, que envolve a injeção de código de um arquivo executável separado; seqüestro de execução de thread, onde o fluxo de execução de um thread legítimo é redirecionado para um código incorreto; processo esvaziamento, onde um processo legítimo é criado e então substituído por um código ruim; e doppelgänging de processos, que envolve a manipulação do sistema de arquivos e dos atributos do processo para criar um processo inseguro.
Cada técnica depende de chamadas de sistema específicas e APIs do Windows para executar a injeção, permitindo que os defensores desenvolvam estratégias eficazes de detecção e mitigação. Ao compreender os mecanismos subjacentes a esses métodos de injeção, os profissionais de segurança podem criar contramedidas apropriadas e proteger os sistemas contra esses ataques.
As Características Únicas do Mockingjay
O Mockingjay se diferencia ao contornar as medidas de segurança tradicionais, utilizando de forma inteligente os arquivos executáveis portáteis existentes do Windows com um bloco de memória protegido com permissões Read-Write-Execute (RWX). Essa abordagem inovadora elimina a necessidade de acionar APIs do Windows monitoradas, normalmente monitoradas por soluções de segurança. Aproveitando o msys-2.0.dll, que oferece 16 KB substanciais de espaço RWX disponível, o Mockingjay efetivamente oculta códigos inseguros e opera secretamente. Reconhecer a possível existência de outras DLLs vulneráveis com atributos semelhantes é essencial.
Mockingjay emprega dois métodos distintos; auto-injeção e injeção de processo remoto, para facilitar a injeção de código, resultando em maior eficácia de ataque e evasão de detecção. A técnica de auto-injeção envolve o carregamento direto da DLL vulnerável no espaço de endereço de um aplicativo personalizado, permitindo a execução do código desejado por meio da seção RWX. Por outro lado, a injeção de processo remoto utiliza a seção RWX dentro da DLL vulnerável para executar a injeção de processo em um processo remoto como ssh.exe. Essas estratégias permitem que o Mockingjay manipule a execução do código furtivamente, permitindo que os agentes de ameaças evitem as medidas de detecção.
Um Desafio para os Sistemas de Detecção e Resposta de Endpoints (EDR)
Ao contrário das abordagens tradicionais, essa estratégia inovadora elimina a necessidade de alocação de memória, configuração de permissão ou criação de encadeamento no processo de destino para iniciar a execução do código injetado. Os pesquisadores destacaram que esse recurso exclusivo representa um desafio significativo para os sistemas de detecção e resposta de endpoint (EDR), pois se desvia dos padrões típicos que eles devem detectar. Essas descobertas surgem após outra revelação recente de um método que aproveita a tecnologia de implantação legítima do Visual Studio chamada ClickOnce. Esse método permite que os agentes de ameaças obtenham execução arbitrária de código e obtenham acesso inicial, enfatizando o cenário em evolução de técnicas de ataque sofisticadas.