新的 Mockingjay 进程注入技术可以让恶意软件逃避检测
威胁行为者可以利用一种名为 Mockingjay 的新进程注入技术绕过安全解决方案,在受感染的系统上执行恶意代码。
Security Joes 研究人员 Thiago Peixoto、Felipe Duarte 和 Ido Naor在与 The Hacker News 分享的一份报告中表示:“注入是在没有空间分配、设置权限甚至启动线程的情况下执行的。”
“这项技术的独特之处在于它需要一个易受攻击的 DLL 并将代码复制到正确的部分。”
进程注入是一种攻击方法,允许攻击者将代码注入进程中,以逃避基于进程的防御并提升权限。这样做,它可以允许在单独的实时进程的内存空间中执行任意代码。
一些众所周知的进程注入技术包括动态链接库(DLL)注入、可移植可执行注入、线程执行劫持、进程空洞和进程双重注入等。
值得指出的是,每种方法都需要结合特定的系统调用和 Windows API 来执行注入,从而允许防御者制定适当的检测和缓解程序。
Mockingjay 的与众不同之处在于,它通过利用预先存在的 Windows 可移植可执行文件(包含受读写执行 ( RWX ) 保护的默认内存块)消除了执行通常由安全解决方案监控的 Windows API 的需要,从而颠覆了这些安全层,权限。
反过来,这是使用 msys-2.0.dll 来完成的,它具有“大量的 16 KB 可用 RWX 空间”,使其成为加载恶意代码并在雷达下飞行的理想候选者。然而,值得注意的是,可能还有其他具有类似特征的易受影响的 DLL。
这家以色列公司表示,他们探索了自注入和远程进程注入两种不同的方法来实现代码注入,这种方式既提高了攻击效率,又绕过了检测。
在第一种方法中,利用自定义应用程序将易受攻击的 DLL 直接加载到其地址空间中,并最终使用 RWX 部分执行所需的代码。另一方面,远程进程注入需要使用易受攻击的 DLL 中的 RWX 部分在远程进程(例如 ssh.exe)中执行进程注入。
研究人员表示:“这项技术的独特之处在于,无需在目标进程中分配内存、设置权限或创建新线程来启动注入代码的执行。”
“这种差异使该策略有别于其他现有技术,并使端点检测和响应(EDR)系统检测该方法变得具有挑战性。”
几周前,网络安全公司 SpecterOps详细介绍了一种新方法,该方法利用名为ClickOnce的合法 Visual Studio 部署技术来实现任意代码执行并获得初始访问权限。
