Μια νέα τεχνική process injection με την ονομασία “Mockingjay” θα μπορούσε να επιτρέψει σε απειλητικούς φορείς να παρακάμψουν το EDR (Endpoint Detection and Response) και άλλα προϊόντα ασφαλείας, εκτελώντας κρυφά κακόβουλο κώδικα σε συστήματα που έχουν παραβιαστεί.
Δείτε επίσης: MOVEit: Hacker κλέβουν δεδομένα 45.000 μαθητών της Νέας Υόρκης
Οι ερευνητές της εταιρείας κυβερνοασφάλειας Security Joes ανακάλυψαν μια μέθοδο που χρησιμοποιεί νόμιμα DLL με τμήματα RWX (ανάγνωση, εγγραφή και εκτέλεση) για να αποφύγει τα EDR hooks και να εισάγει κώδικα σε απομακρυσμένες διεργασίες.
Η διαδικασία Process Injection είναι μια μέθοδος εκτέλεσης αυθαίρετου κώδικα στο χώρο διευθύνσεων μιας άλλης εκτελούμενης διεργασίας, την οποία εμπιστεύεται το λειτουργικό σύστημα. Αυτό δίνει στους απειλητικούς φορείς τη δυνατότητα να εκτελούν κακόβουλο κώδικα χωρίς να γίνονται αντιληπτοί.
Παραδείγματα τεχνικών process injection περιλαμβάνουν το DLL injection, το PE (portable executable) injection, το thread execution hijacking, το Process Hollowing, το mapping injection, το APC (asynchronous procedure call) injection και άλλα.
Δείτε επίσης: Το Mallox ransomware επιτίθεται σε βιομηχανίες IT με νέο μοτίβο επίθεσης
Σε όλες αυτές τις τεχνικές, οι επιτιθέμενοι πρέπει να χρησιμοποιούν APIs των Windows και διάφορες κλήσεις συστήματος, να δημιουργούν processes/threads, κ.λπ. Ως εκ τούτου, τα εργαλεία ασφαλείας που παρακολουθούν για συγκεκριμένες ενέργειες που σχετίζονται με τα παραπάνω μπορούν να ανιχνεύσουν ύποπτα περιστατικά και να παρέμβουν όπως απαιτείται.
Ο Joe από την Security λέει ότι το Mockingjay ξεχωρίζει από άλλες προσεγγίσεις επειδή δεν χρησιμοποιεί συχνά καταχρηστικές κλήσεις API των Windows, δεν θέτει ειδικά δικαιώματα, δεν εκτελεί κατανομές μνήμης ούτε ξεκινά threads, εξαλείφοντας έτσι πολλές πιθανές ευκαιρίες εντοπισμού.
Ο πρώτος στόχος των ερευνητών ήταν να βρουν ένα ευάλωτο DLL με ένα προεπιλεγμένο τμήμα που ήταν εγγράψιμο, εκτελέσιμο και αναγνώσιμο (RWX), ώστε να μπορούν να τροποποιήσουν τα περιεχόμενά του για να φορτώσουν κακόβουλο κώδικα χωρίς να εκτελέσουν επιπλέον βήματα όπως η απόκτηση πρόσθετων δικαιωμάτων, τα οποία θα μπορούσαν να εγείρουν red flags στο λογισμικό ασφαλείας.
Στην αναζήτησή τους για ένα κατάλληλο DLL, οι αναλυτές της Security Joes ανακάλυψαν το msys-2.0.dll μέσα στο Visual Studio 2022 Community, το οποίο είχε ένα προεπιλεγμένο τμήμα μεγέθους 16 KB με δικαιώματα RWX.
Στη συνέχεια, η ομάδα ανέπτυξε δύο μεθόδους έγχυσης: μία για self-injection και μία για remote process injection.
Στην πρώτη περίπτωση, μια προσαρμοσμένη εφαρμογή (“nightmare.exe”) φορτώνει το ευάλωτο DLL απευθείας στο χώρο μνήμης του χρησιμοποιώντας δύο Windows API calls, παρέχοντας του άμεση πρόσβαση στο τμήμα RWX χωρίς να εκτελεί καμία κατανομή μνήμης ή να ορίζει οποιαδήποτε δικαιώματα.
Στη συνέχεια, ένα clean system module, NTDLL.DLL, χρησιμοποιείται καταχρηστικά για την εξαγωγή αριθμών syscall, οι οποίοι στη συνέχεια χρησιμοποιούνται για την παράκαμψη των EDR hooks χρησιμοποιώντας την τεχνική “Hell’s Gate EDR unhooking”, επιτρέποντας την εκτέλεση του injected shellcode χωρίς να ανιχνευθεί.
Η δεύτερη μέθοδος περιλαμβάνει την εκμετάλλευση του τμήματος TWX του msys-2.0.dll για την εισαγωγή ενός payload σε ένα remote process, συγκεκριμένα στη διεργασία “ssh.exe”.
Η προσαρμοσμένη εφαρμογή εκκινεί το ssh.exe ως child process, ανοίγει ένα handle στη διεργασία-στόχο και εισάγει κακόβουλο κώδικα στο χώρο μνήμης RWX του ευάλωτου DLL.
Τέλος, ο εισαγόμενος shellcode φορτώνει το αρχείο DLL “MyLibrary.dll”, δημιουργώντας ένα reverse shell στο μηχάνημα του επιτιθέμενου, ως παράδειγμα επίθεσης.
Οι δοκιμές έδειξαν ότι αυτή η επίθεση remote injection, η οποία δεν απαιτεί τη δημιουργία ενός νέου thread στη διεργασία-στόχο, την κατανομή μνήμης ή τη ρύθμιση δικαιωμάτων, αποφεύγει με επιτυχία τις λύσεις EDR.
Και οι δύο μέθοδοι που προτείνονται στο Mockingjay χρησιμοποιούν API των Windows όπως «LoadLibraryW», «CreateProcessW» και «GetModuleInformation» για να φορτώσουν ένα DLL που δεν έχει ρυθμιστεί σωστά και να βρει τη διεύθυνση της ενότητας RWX του DLL.
Ωστόσο, τα EDR παρακολουθούν συνήθως API όπως «WriteProcessMemory», «NtWriteVirtualMemory», «CreateRemoteThread» ή «NtCreateThreadEx», τα οποία καλούνται πιο συχνά σε παραδοσιακές επιθέσεις process injection. Ως εκ τούτου, το Mockingjay είναι λιγότερο πιθανό να προκαλέσει alarms.
Δείτε επίσης: Αύξηση των κυβερνοεπιθέσεων στα δικηγορικά γραφεία
Η ανάπτυξη του “Mockingjay” από την Joes Security αποτελεί άλλη μια ένδειξη του γιατί οι οργανισμοί πρέπει να υιοθετήσουν μια ολιστική προσέγγιση ασφάλειας αντί να βασίζονται αποκλειστικά στις τρέχουσες λύσεις EDR.
Πηγή πληροφοριώβ: bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/470532/process-injection-mockingjay-edr/&media=https://www.secnews.gr/wp-content/uploads/2023/02/hackers-2-5.jpg&description=Μια νέα τεχνική process injection με την ονομασία "Mockingjay" θα μπορούσε να επιτρέψει σε απειλητικούς φορείς να παρακάμψουν το EDR...){kind=link}