マルチライセンス割引
Computer Security Mockingjay プロセス インジェクション技術がマルウェアの検出を回避するとらえどころのない方法として明らかに

Mockingjay プロセス インジェクション技術がマルウェアの検出を回避するとらえどころのない方法として明らかに

Computer SecurityChanceまで
翻訳内容:
日本語
マルウェアコードインジェクション

Mockingjay と呼ばれる最先端のプロセス インジェクション技術が出現し、攻撃者がセキュリティ対策を回避し、侵害されたシステム上で破損したコードを実行する潜在的な手段を提示しています。セキュリティ研究者は、インジェクション中のスペース割り当て、権限設定、またはスレッドの初期化の必要性を回避するこの手法を特定しました。 The Hacker News に共有された彼らのレポートによると、Mockingjay の特徴は、脆弱な DLL への依存と、コードを適切なセクション内に正確に配置していることにあります。

プロセスインジェクションとは何ですか?

プロセス インジェクションは、悪意のある攻撃者がコンピュータ上で実行されている正当なプロセスのメモリ領域内にコードを挿入して実行するために使用するテクニカル マルウェアです。挿入されたコードは通常、不正アクセスを許可したり、ターゲットのプロセス内で有害なアクションを実行したりするもので、多くの場合、セキュリティ対策をバイパスして検出されないようにすることを目的としています。プロセス インジェクション技術は、オペレーティング システムやアプリケーションの脆弱性や弱点を利用して、プロセスを制御し、その動作を操作します。標準的なプロセス インジェクション方法には、DLL、コード、プロセス ハローイングなどがあります。

プロセス インジェクション技術は多様で、マルウェアや悪意のある攻撃者が正規のプロセスにコードを挿入するために使用するさまざまな方法が含まれます。いくつかの著名なプロセス インジェクション技術には、侵害された DLL がターゲット プロセスにロードされる DLL インジェクションが含まれます。ポータブル実行可能ファイルの注入。別の実行可能ファイルからコードを注入します。スレッド実行ハイジャック。正当なスレッドの実行フローが不正なコードにリダイレクトされます。プロセスの空洞化。正当なプロセスが作成され、その後不正なコードに置き換えられます。プロセス ドッペルゲンギングでは、ファイル システムとプロセスの属性を操作して安全でないプロセスを作成します。

各手法は特定のシステム コールと Windows API に依存してインジェクションを実行するため、防御者は効果的な検出および軽減戦略を開発できます。これらの注入方法の基礎となるメカニズムを理解することで、セキュリティ専門家は適切な対策を考案し、そのような攻撃からシステムを保護することができます。

モッキングジェイのユニークな特徴

Mockingjay は、読み取り-書き込み-実行 (RWX) 権限で保護されたメモリ ブロックを持つ既存の Windows ポータブル実行可能ファイルを巧みに利用することで、従来のセキュリティ対策を回避することで、自らを差別化しています。この革新的なアプローチにより、通常はセキュリティ ソリューションによって監視される監視対象の Windows API をトリガーする必要がなくなります。かなりの 16 KB の利用可能な RWX スペースを提供する msys-2.0.dll を利用することで、Mockingjay は安全でないコードを効果的に隠蔽し、秘密裏に動作します。同様の属性を持つ他の脆弱な DLL が存在する可能性があることを認識することが重要です。

Mockingjay は 2 つの異なる方法を採用しています。自己インジェクションとリモート プロセス インジェクションを使用してコード インジェクションを容易にし、攻撃の有効性を高め、検出を回避します。自己インジェクション手法では、脆弱な DLL をカスタム アプリケーションのアドレス空間に直接ロードし、RWX セクションを介して目的のコードを実行できるようにします。一方、リモート プロセス インジェクションは、脆弱な DLL 内の RWX セクションを利用して、ssh.exe などのリモート プロセスでプロセス インジェクションを実行します。これらの戦略により、Mockingjay はコード実行を密かに操作できるようになり、攻撃者が検出措置を回避できるようになります。

エンドポイント検出および応答 (EDR) システムの課題

従来のアプローチとは異なり、この革新的な戦略では、挿入されたコードの実行を開始するためにターゲット プロセス内でメモリの割り当て、権限の設定、またはスレッドの作成を行う必要がなくなります。研究者らは、このユニークな機能は、エンドポイント検出および応答 (EDR) システムが検出すべき典型的なパターンから逸脱しているため、エンドポイント検出および応答 (EDR) システムにとって重大な課題を引き起こしていることを強調しました。これらの発見は、ClickOnce と呼ばれる正規の Visual Studio 展開テクノロジを利用する方法が最近明らかになった後に明らかになりました。この方法により、攻撃者は任意のコードを実行して初期アクセスを取得できるようになり、高度な攻撃手法の進化する状況が強調されます。

読み込んでいます...