تکنیک تزریق فرآیند جدیدی با عنوان Mockingjay می تواند توسط مهاجمان، با هدف دور زدن راه حل های امنیتی برای اجرای کدهای مخرب در سیستم های آسیب پذیر اکسپلویت شود. این تکنیک امکان اجرای کد از راه دور در فضای آدرس فرآیندهای قانونی را فراهم می کند.
تزریق فرآیند، یک روش حمله است که به مهاجمان اجازه می دهد تا کد را به فرآیندها تزریق کنند تا بتوانند دفاع مبتنی بر فرآیند را دور زنند و امتیازات را افزایش دهند. این تکنیک روی یک DDL آسیب پذیر و کپی کد در قسمت خاصی از آن انجام می شود. مهاجم می تواند از این طریق، امکان اجرای کد در فضای حافظه یک فرآیند در حال انجام را فراهم کند.
تکنیک جدید تزریق فرآیند Mockingjay به مهاجم اجازه می دهد در حالی که از اقدامات امنیتی دوری می کند، بتواند بدافزار را اجرا کند. همچنین، این تکنیک می تواند با استفاده از DLLهای قانونی با بخش های خواندن، نوشتن، اجرا (RWX)، ابزارهای تشخیص را دور بزند و به طور مخفیانه کدهای مخرب را به فرآیندهای راه دور تزریق کند.
این تکنیک برپایه API است. متداول ترین تکنیک های تزریق فرآیند شامل Self injection، Classic DLL Injection، PE Injection، Process Hollowing / Run PE، Thread Execution Hijacking، Mapping Injection، APC Injection and Atombombing، Process Doppelganging هستند.
هر یک از این روش ها، به ترکیبی از فراخوانی های سیستمی و APIهای ویندوز، برای انجام تزریق نیاز دارند. Mockingjay می تواند این لایه های امنیتی با حذف نیاز به اجرای API های ویندوز که توسط راه حل های امنیتی نظارت می شوند، با استفاده از فایل های اجرایی قابل حمل ویندوز که حاوی یک بلوک حافظه پیش-فرض محافظت شده با Read-Write-Execute (RWX) هستند، زیرو رو کند.
ممکن است DLL های حساس دیگری با ویژگی های مشابه وجود داشته باشد. دو روش مختلف Self Injection و تزریق Remote Process Injection، برای دستیابی به تزریق کد بررسی شده است که علاوه براینکه کارایی حمله را بهبود می بخشد، تشخیص را نیز دور می زند.
در رویکرد اول، یک برنامه کاربردی سفارشی برای بارگذاری مستقیم DLL آسیب پذیر در فضای آدرس آن و در نهایت اجرای کد با استفاده از بخش RWX استفاده می شود. از سوی دیگر، تزریق فرآیند از راه دور، مستلزم استفاده از بخش REX درDLL آسیب پذیر، برای انجام تزریق فرآیند در یک فرآیند راه دور مانند ssh.exe است.
ویژگی این تکنیک این است که نیازی به تخصیص حافظه، تنظیم مجوزها یا ایجاد یک رشته جدید در فرآیند هدف، برای شروع اجرای کد تزریقی نیست. این عامل، سبب متمایز شدن این استراتژی از سایر تکنیک های موجود می شود و تشخیص این روش را برای سیستم های تشخیص و پاسخ نقطه پایانی (EDR) چالش برانگیز می کند.
منابع خبر
[1] https://thehackernews.com/2023/06/new-mockingjay-process-injection.html
[2] https://heimdalsecurity.com/blog/new-mockingjay-process-injection-method-enables-malware-evade-edr-…
- 68