La technique d'injection du processus Mockingjay dévoilée comme une méthode insaisissable permettant aux logiciels malveillants d'échapper à la détection
Une technique d'injection de processus de pointe appelée Mockingjay a émergé, offrant aux acteurs de la menace un moyen potentiel d'échapper aux mesures de sécurité et d'exécuter un code corrompu sur des systèmes compromis. Les chercheurs en sécurité ont identifié cette technique, qui contourne le besoin d'allocation d'espace, de paramètres d'autorisation ou d'initialisation de thread lors de l'injection. Selon leur rapport partagé avec The Hacker News, le caractère distinctif de Mockingjay réside dans sa dépendance à une DLL vulnérable et le placement précis du code dans la section appropriée.
Table des matières
Qu'est-ce qu'une injection de processus ?
L'injection de processus est un logiciel malveillant technique, que des acteurs malveillants utilisent pour insérer et exécuter du code dans l'espace mémoire d'un processus légitime s'exécutant sur un ordinateur. Le code injecté accorde généralement un accès non autorisé ou effectue des actions nuisibles au sein du processus ciblé, visant souvent à contourner les mesures de sécurité et à ne pas être détecté. Les techniques d'injection de processus exploitent les vulnérabilités ou les faiblesses du système d'exploitation ou des applications pour prendre le contrôle d'un processus et manipuler son comportement. Les méthodes d'injection de processus standard incluent la DLL, le code et l'évidement de processus.
Les techniques d'injection de processus sont diverses et englobent diverses méthodes que les logiciels malveillants ou les acteurs mal orientés utilisent pour injecter du code dans des processus légitimes. Certaines techniques d'injection de processus importantes incluent l'injection de DLL, où une DLL compromise est chargée dans un processus cible; l'injection exécutable portable, qui consiste à injecter du code à partir d'un fichier exécutable séparé ; détournement d'exécution de thread, où le flux d'exécution d'un thread légitime est redirigé vers un mauvais code ; creusement de processus, où un processus légitime est créé puis remplacé par un mauvais code ; et processus doppelgänging, qui implique la manipulation du système de fichiers et des attributs de processus pour créer un processus non sécurisé.
Chaque technique repose sur des appels système spécifiques et des API Windows pour effectuer l'injection, permettant aux défenseurs de développer des stratégies de détection et d'atténuation efficaces. En comprenant les mécanismes sous-jacents de ces méthodes d'injection, les professionnels de la sécurité peuvent concevoir des contre-mesures appropriées et protéger les systèmes contre de telles attaques.
Les traits uniques de Mockingjay
Mockingjay se distingue en contournant les mesures de sécurité traditionnelles en utilisant intelligemment les fichiers exécutables portables Windows existants avec un bloc de mémoire protégé par des autorisations de lecture-écriture-exécution (RWX). Cette approche innovante élimine le besoin de déclencher des API Windows surveillées généralement surveillées par des solutions de sécurité. En tirant parti de msys-2.0.dll, qui offre un espace substantiel de 16 Ko d'espace RWX disponible, Mockingjay dissimule efficacement le code dangereux et opère secrètement. Reconnaître l'existence potentielle d'autres DLL vulnérables avec des attributs similaires est essentiel.
Mockingjay utilise deux méthodes distinctes; l'auto-injection et l'injection de processus à distance, pour faciliter l'injection de code, ce qui améliore l'efficacité des attaques et évite la détection. La technique d'auto-injection consiste à charger directement la DLL vulnérable dans l'espace d'adressage d'une application personnalisée, permettant l'exécution du code souhaité via la section RWX. D'autre part, l'injection de processus distant utilise la section RWX dans la DLL vulnérable pour effectuer l'injection de processus dans un processus distant tel que ssh.exe. Ces stratégies permettent à Mockingjay de manipuler furtivement l'exécution du code, permettant aux pirates d'échapper aux mesures de détection.
Un défi pour les systèmes de détection et de réponse aux points finaux (EDR)
Contrairement aux approches traditionnelles, cette stratégie innovante élimine le besoin d'allocation de mémoire, de définition d'autorisations ou de création de threads dans le processus cible pour lancer l'exécution du code injecté. Les chercheurs ont souligné que cette fonctionnalité unique pose un défi important pour les systèmes de détection et de réponse aux points finaux (EDR), car elle s'écarte des modèles typiques qu'ils doivent détecter. Ces résultats émergent après une autre révélation récente d'une méthode tirant parti de la technologie de déploiement légitime de Visual Studio appelée ClickOnce. Cette méthode permet aux acteurs de la menace d'exécuter du code arbitraire et d'obtenir un accès initial, mettant l'accent sur l'évolution du paysage des techniques d'attaque sophistiquées.