تکنیک جدید هکرها برای شناسایی نشدن حملات سایبری

کمیته رکن چهارم – هکرها با استفاده از تکنیک تزریق جدیدی به نام Mockingjay جلوی شناسایی شدن بدافزار را می‌گیرند.

یک تکنیک تزریق فرآیند جدید با نام Mockingjay می‌تواند توسط عوامل تهدید برای دور زدن راه‌حل‌های امنیتی و اجرای کدهای مخرب در سیستم‌های در معرض سوءاستفاده، قرار گیرد.

تزریق فرآیند، یک روش حمله است که به مهاجمان اجازه می‌دهد تا کدهای مورد نظر خود را به فرآیندها تزریق کنند تا بتوانند دفاع مبتنی بر فرآیند را دور بزنند و امتیازات دسترسی خود را افزایش دهند. این تکنیک روی یک DDL آسیب‌پذیر و کپی کد در قسمت خاصی از آن انجام می‌شود و مهاجم می تواند از این طریق، امکان اجرای کد در فضای حافظه یک فرآیند در حال انجام را فراهم کند.

تکنیک جدید تزریق فرآیند Mockingjay به مهاجم اجازه می‌دهد در حالی که غیرقابل شناسایی می‌شود، بتواند بدافزار را اجرا کند. همچنین، این تکنیک می‌تواند با استفاده از DLLهای قانونی با بخش‌های خواندن، نوشتن، اجرا (RWX)، ابزارهای تشخیص برای شناسایی بدافزارها را دور بزند و به طور مخفیانه کدهای مخرب را به فرآیندهای سیستم قربانی تزریق کند.

این تکنیک برپایه API است. متداول‌ترین تکنیک‌های تزریق فرآیند شامل Self injection، Classic DLL Injection، PE Injection، Process Hollowing / Run PE، Thread Execution Hijacking، Mapping Injection، APC Injection and Atombombing، Process Doppelganging هستند.

هر یک از این روش‌ها، به ترکیبی از فراخوانی‌های سیستمی و APIهای ویندوز، برای انجام تزریق نیاز دارند. Mockingjay می‌تواند این لایه‌های امنیتی با حذف نیاز به اجرای APIهای ویندوز که توسط راه حل های امنیتی نظارت می‌شوند، با استفاده از فایل‌های اجرایی پرتابل ویندوز که حاوی یک بلوک حافظه پیش‌فرض محافظت شده با Read-Write-Execute (RWX) هستند، زیرورو کند.

ممکن است DLLهای حساس دیگری با ویژگی‌های مشابه وجود داشته باشد. دو روش مختلف Self Injection و تزریق Remote Process Injection، برای دستیابی به تزریق کد بررسی شده است که علاوه براینکه کارایی حمله را بهبود می‌بخشد، تشخیص را نیز دور می‌زند.

در رویکرد اول، یک برنامه کاربردی سفارشی برای بارگذاری مستقیم DLL آسیب پذیر در فضای آدرس آن و در نهایت اجرای کد با استفاده از بخش RWX استفاده می شود. از سوی دیگر، تزریق فرآیند از راه دور، مستلزم استفاده از بخش REX درDLL آسیب پذیر، برای انجام تزریق فرآیند در یک فرآیند راه دور مانند ssh.exe است.

ویژگی این تکنیک این است که نیازی به تخصیص حافظه، تنظیم مجوزها یا ایجاد یک رشته جدید در فرآیند هدف، برای شروع اجرای کد تزریقی نیست. این عامل، سبب متمایز شدن این استراتژی از سایر تکنیک های موجود می شود و تشخیص این روش را برای سیستم های تشخیص و پاسخ نقطه پایانی (EDR) چالش برانگیز می کند.

منبع: افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.