?新的 Mockingjay 進程注入技術可以讓惡意軟件逃避檢測

威脅行為者可以利用一種名為 Mockingjay 的新進程注入技術繞過安全解決方案，在受感染的系統上執行惡意代碼。

Security Joes 研究人員 Thiago Peixoto、Felipe Duarte 和 Ido Naor在與 The Hacker News 分享的一份報告中表示：“注入是在沒有空間分配、設置權限甚至啟動線程的情況下執行的。” 

“這項技術的獨特之處在于它需要一個易受攻擊的 DLL 并將代碼復制到正確的部分。”

進程注入是一種攻擊方法，允許攻擊者將代碼注入進程中，以逃避基于進程的防御并提升權限。這樣做，它可以允許在單獨的實時進程的內存空間中執行任意代碼。

一些眾所周知的進程注入技術包括動態鏈接庫（DLL）注入、可移植可執行注入、線程執行劫持、進程空洞和進程雙重注入等。

值得指出的是，每種方法都需要結合特定的系統調用和 Windows API 來執行注入，從而允許防御者制定適當的檢測和緩解程序。

Mockingjay 的與眾不同之處在于，它通過利用預先存在的 Windows 可移植可執行文件（包含受讀寫執行 ( RWX ) 保護的默認內存塊）消除了執行通常由安全解決方案監控的 Windows API 的需要，從而顛覆了這些安全層，權限。

反過來，這是使用 msys-2.0.dll 來完成的，它具有“大量的 16 KB 可用 RWX 空間”，使其成為加載惡意代碼并在雷達下飛行的理想候選者。然而，值得注意的是，可能還有其他具有類似特征的易受影響的 DLL。

這家以色列公司表示，他們探索了自注入和遠程進程注入兩種不同的方法來實現代碼注入，這種方式既提高了攻擊效率，又繞過了檢測。

在第一種方法中，利用自定義應用程序將易受攻擊的 DLL 直接加載到其地址空間中，并最終使用 RWX 部分執行所需的代碼。另一方面，遠程進程注入需要使用易受攻擊的 DLL 中的 RWX 部分在遠程進程（例如 ssh.exe）中執行進程注入。

研究人員表示：“這項技術的獨特之處在于，無需在目標進程中分配內存、設置權限或創建新線程來啟動注入代碼的執行。”

“這種差異使該策略有別于其他現有技術，并使端點檢測和響應（EDR）系統檢測該方法變得具有挑戰性。”

幾周前，網絡安全公司 SpecterOps詳細介紹了一種新方法，該方法利用名為ClickOnce的合法 Visual Studio 部署技術來實現任意代碼執行并獲得初始訪問權限。