Η νέα τεχνική process injection Mockingjay αποφεύγει την ανίχνευση EDR

Μια νέα τεχνική process injection με την ονομασία “Mockingjay” θα μπορούσε να επιτρέψει σε απειλητικούς φορείς να παρακάμψουν το EDR (Endpoint Detection and Response) και άλλα προϊόντα ασφαλείας, εκτελώντας κρυφά κακόβουλο κώδικα σε συστήματα που έχουν παραβιαστεί.

Δείτε επίσης: MOVEit: Hacker κλέβουν δεδομένα 45.000 μαθητών της Νέας Υόρκης

Οι ερευνητές της εταιρείας κυβερνοασφάλειας Security Joes ανακάλυψαν μια μέθοδο που χρησιμοποιεί νόμιμα DLL με τμήματα RWX (ανάγνωση, εγγραφή και εκτέλεση) για να αποφύγει τα EDR hooks και να εισάγει κώδικα σε απομακρυσμένες διεργασίες.

Η διαδικασία Process Injection είναι μια μέθοδος εκτέλεσης αυθαίρετου κώδικα στο χώρο διευθύνσεων μιας άλλης εκτελούμενης διεργασίας, την οποία εμπιστεύεται το λειτουργικό σύστημα. Αυτό δίνει στους απειλητικούς φορείς τη δυνατότητα να εκτελούν κακόβουλο κώδικα χωρίς να γίνονται αντιληπτοί.

Σύμφωνα με το Bloomberg Billionaires Index, ο Mark Zuckerberg, διευθύνων σύμβουλος της Meta, είναι πλέον ο δεύτερος πλουσιότερος άνθρωπος στον κόσμο.

Η καθαρή περιουσία του Zuckerberg έφτασε τα 206,2 δισεκατομμύρια δολάρια την Πέμπτη και έτσι πήρε τη θέση του Jeff Bezos.

#Meta #ΤεχνητήΝοημοσύνη #Διαφήμιση #Eikona #Metaverse #Επενδύσεις #ΑυξημένηΠραγματικότητα #Τεχνολογία #ΨηφιακήΔιαφήμιση #Κερδοφορία

1 0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmdXRjhveV9DN2FJ

Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος

SecNewsTV 4 hours ago

#secnews #star #coronaborealis

Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό. Αστρονόμοι σε όλο τον κόσμο συνεχίζουν να κοιτάζουν προς τον αστερισμό Corona Borealis σε απόσταση 3.000 ετών φωτός από τη Γη, όπου ένα αστέρι που έχει πεθάνει από καιρό αναμένεται να αναζωπυρωθεί σε μια έκρηξη τόσο ισχυρή που θα συναγωνιστεί για λίγο τη λάμψη του Βόρειου Αστέρα. Το αστρικό πτώμα φωτίστηκε τελευταία φορά πριν από σχεδόν 80 χρόνια και δεν θα αναζωπυρωθεί για άλλα 80 χρόνια, καθιστώντας το μια εμπειρία που συμβαίνει μία φορά στη ζωή μας.

00:00 Εισαγωγή
00:36 T Coronae Borealis
01:18 Επαναλαμβανόμενα novas
01:42 Διαστημικό τηλεσκόπιο Fermi

Μάθετε περισσότερα: https://www.secnews.gr/623498/monadiko-fainomeno-ena-neo-asteri-nixterino-ourano/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpNVzNRUzl1UUYw

Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό

SecNewsTV 22 hours ago

#secnews #markzuckerberg #richest

Σύμφωνα με το Bloomberg Billionaires Index, ο Mark Zuckerberg, διευθύνων σύμβουλος της Meta, είναι πλέον ο δεύτερος πλουσιότερος άνθρωπος στον κόσμο.

Η καθαρή περιουσία του Zuckerberg έφτασε τα 206,2 δισεκατομμύρια δολάρια την Πέμπτη, σύμφωνα με το Bloomberg και έτσι πήρε τη θέση του Jeff Bezos, πρώην CEO και προέδρου της Amazon. Ο Bezos βρίσκεται στην τρίτη θέση με 205,1 δισεκατομμύρια δολάρια. Την πρώτη θέση κατέχει ο επικεφαλής της Tesla, Elon Musk, με 256 δισεκατομμύρια δολάρια.

Μάθετε περισσότερα: https://www.secnews.gr/623474/mark-zuckerberg-deuteros-plousioteros-anthropos-kosmo/

00:00 Εισαγωγή
00:18 Πλουσιότεροι άνθρωποι - πρώτη τριάδα
00:45 Λίγα λόγια για τον Zuckerberg
01:16 Αύξηση προσωπικής περιουσίας και μετοχών και εσόδων Meta
02:06 Επενδύσεις σε AI, metaverse και διαφημίσεις

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LlRLRDZFUUs4cDg4

Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰

SecNewsTV 4 Οκτωβρίου 2024, 15:02 15:02

Load More... Subscribe

Παραδείγματα τεχνικών process injection περιλαμβάνουν το DLL injection, το PE (portable executable) injection, το thread execution hijacking, το Process Hollowing, το mapping injection, το APC (asynchronous procedure call) injection και άλλα.

Δείτε επίσης: Το Mallox ransomware επιτίθεται σε βιομηχανίες IT με νέο μοτίβο επίθεσης

Σε όλες αυτές τις τεχνικές, οι επιτιθέμενοι πρέπει να χρησιμοποιούν APIs των Windows και διάφορες κλήσεις συστήματος, να δημιουργούν processes/threads, κ.λπ. Ως εκ τούτου, τα εργαλεία ασφαλείας που παρακολουθούν για συγκεκριμένες ενέργειες που σχετίζονται με τα παραπάνω μπορούν να ανιχνεύσουν ύποπτα περιστατικά και να παρέμβουν όπως απαιτείται.

Ο Joe από την Security λέει ότι το Mockingjay ξεχωρίζει από άλλες προσεγγίσεις επειδή δεν χρησιμοποιεί συχνά καταχρηστικές κλήσεις API των Windows, δεν θέτει ειδικά δικαιώματα, δεν εκτελεί κατανομές μνήμης ούτε ξεκινά threads, εξαλείφοντας έτσι πολλές πιθανές ευκαιρίες εντοπισμού.

Ο πρώτος στόχος των ερευνητών ήταν να βρουν ένα ευάλωτο DLL με ένα προεπιλεγμένο τμήμα που ήταν εγγράψιμο, εκτελέσιμο και αναγνώσιμο (RWX), ώστε να μπορούν να τροποποιήσουν τα περιεχόμενά του για να φορτώσουν κακόβουλο κώδικα χωρίς να εκτελέσουν επιπλέον βήματα όπως η απόκτηση πρόσθετων δικαιωμάτων, τα οποία θα μπορούσαν να εγείρουν red flags στο λογισμικό ασφαλείας.

Στην αναζήτησή τους για ένα κατάλληλο DLL, οι αναλυτές της Security Joes ανακάλυψαν το msys-2.0.dll μέσα στο Visual Studio 2022 Community, το οποίο είχε ένα προεπιλεγμένο τμήμα μεγέθους 16 KB με δικαιώματα RWX.

Στη συνέχεια, η ομάδα ανέπτυξε δύο μεθόδους έγχυσης: μία για self-injection και μία για remote process injection.

Στην πρώτη περίπτωση, μια προσαρμοσμένη εφαρμογή (“nightmare.exe”) φορτώνει το ευάλωτο DLL απευθείας στο χώρο μνήμης του χρησιμοποιώντας δύο Windows API calls, παρέχοντας του άμεση πρόσβαση στο τμήμα RWX χωρίς να εκτελεί καμία κατανομή μνήμης ή να ορίζει οποιαδήποτε δικαιώματα.

Στη συνέχεια, ένα clean system module, NTDLL.DLL, χρησιμοποιείται καταχρηστικά για την εξαγωγή αριθμών syscall, οι οποίοι στη συνέχεια χρησιμοποιούνται για την παράκαμψη των EDR hooks χρησιμοποιώντας την τεχνική “Hell’s Gate EDR unhooking”, επιτρέποντας την εκτέλεση του injected shellcode χωρίς να ανιχνευθεί.

Η δεύτερη μέθοδος περιλαμβάνει την εκμετάλλευση του τμήματος TWX του msys-2.0.dll για την εισαγωγή ενός payload σε ένα remote process, συγκεκριμένα στη διεργασία “ssh.exe”.

Η προσαρμοσμένη εφαρμογή εκκινεί το ssh.exe ως child process, ανοίγει ένα handle στη διεργασία-στόχο και εισάγει κακόβουλο κώδικα στο χώρο μνήμης RWX του ευάλωτου DLL.

Τέλος, ο εισαγόμενος shellcode φορτώνει το αρχείο DLL “MyLibrary.dll”, δημιουργώντας ένα reverse shell στο μηχάνημα του επιτιθέμενου, ως παράδειγμα επίθεσης.

Οι δοκιμές έδειξαν ότι αυτή η επίθεση remote injection, η οποία δεν απαιτεί τη δημιουργία ενός νέου thread στη διεργασία-στόχο, την κατανομή μνήμης ή τη ρύθμιση δικαιωμάτων, αποφεύγει με επιτυχία τις λύσεις EDR.

Και οι δύο μέθοδοι που προτείνονται στο Mockingjay χρησιμοποιούν API των Windows όπως «LoadLibraryW», «CreateProcessW» και «GetModuleInformation» για να φορτώσουν ένα DLL που δεν έχει ρυθμιστεί σωστά και να βρει τη διεύθυνση της ενότητας RWX του DLL.

Ωστόσο, τα EDR παρακολουθούν συνήθως API όπως «WriteProcessMemory», «NtWriteVirtualMemory», «CreateRemoteThread» ή «NtCreateThreadEx», τα οποία καλούνται πιο συχνά σε παραδοσιακές επιθέσεις process injection. Ως εκ τούτου, το Mockingjay είναι λιγότερο πιθανό να προκαλέσει alarms.

Δείτε επίσης: Αύξηση των κυβερνοεπιθέσεων στα δικηγορικά γραφεία

Η ανάπτυξη του “Mockingjay” από την Joes Security αποτελεί άλλη μια ένδειξη του γιατί οι οργανισμοί πρέπει να υιοθετήσουν μια ολιστική προσέγγιση ασφάλειας αντί να βασίζονται αποκλειστικά στις τρέχουσες λύσεις EDR.

Πηγή πληροφοριώβ: bleepingcomputer.com