أصبحت أنظمة الكشف عن نقاط النهاية والاستجابة لها (EDR) فعالة بشكل متزايد في اكتشاف محاولات حقن العمليات النموذجية التي تستدعي مجموعة من واجهات برمجة التطبيقات لإدراج التعليمات البرمجية في مساحة الذاكرة الخاصة بعملية قيد التشغيل.
لذلك، شرع الباحثون في شركة Security Joes ومقرها إسرائيل في إيجاد طريقة أخرى لحقن الإجراءات القانونية الواجبة دون الاعتماد على واجهات برمجة التطبيقات التي تتم مراقبتها بواسطة EDR. والنتيجة هي Mockingjay، وهي طريقة جديدة لحقن العمليات تستفيد من مكتبات الارتباط الديناميكي (DLLs) مع أذونات القراءة والكتابة والتنفيذ الافتراضية (RWX) لدفع التعليمات البرمجية إلى مساحة العنوان للعملية الجارية.
نهج الطائر المقلد
وقال Security Joes في تقرير هذا الأسبوع إن هذا النهج يقلل من احتمالية قيام آلية أمان نقطة النهاية باكتشاف جهود حقن العمليات الضارة ويتطلب عددًا أقل من الخطوات لتحقيقه. "يهدف بحثنا إلى اكتشف طرقًا بديلة لتنفيذ التعليمات البرمجية ديناميكيًا وقالت الشركة الأمنية: “في مساحة الذاكرة الخاصة بعمليات Windows، دون الاعتماد على واجهات برمجة تطبيقات Windows المراقبة”.
"إن نهجنا الفريد، والذي يتضمن الاستفادة من ملف DLL الضعيف ونسخ التعليمات البرمجية إلى القسم المناسب، سمح لنا بإدخال التعليمات البرمجية دون تخصيص الذاكرة أو إعداد الأذونات أو حتى بدء سلسلة رسائل في العملية المستهدفة."
حقن العملية هو أسلوب لمعالجة ذاكرة العملية إما لإضافة وظائف جديدة أو تعديل سلوكها. عادةً ما يستخدم المهاجمون هذه الطريقة لـ إخفاء التعليمات البرمجية الضارة والتهرب من الكشف على الأنظمة المعرضة للخطر. تتضمن طرق حقن العمليات الشائعة الحقن الذاتي حيث تقوم العملية التي تستقبل الحمولة المحقونة بتنفيذها أيضًا؛ حقن DLL حيث يتم تحميل DLL ضار في مساحة الذاكرة الخاصة بالعملية؛ وحقن PE حيث يتم تعيين ملف قابل للتنفيذ محمول في ذاكرة العملية الجارية.
وقالت شركة Security Joes في تقريرها: "تتطلب كل تقنية من تقنيات الحقن هذه مجموعة من واجهات برمجة تطبيقات Windows المحددة، والتي تولد أنماطًا مميزة يمكن للمدافعين وبرامج الأمان الاستفادة منها لأغراض الكشف والتخفيف". على سبيل المثال، قالت الشركة إن واجهات برمجة التطبيقات المطلوبة للحقن الذاتي هي VirtualAlloc وLocalAlloc وGlobalAlloc وVirtual Protect. وبالمثل، فإن واجهات برمجة التطبيقات المستخدمة في حقن PE هي VirtualAllocEx، وWriteProcessMemory، وCreateRemoteThread. يتم ضبط معظم أنظمة EDR لمراقبة واجهات برمجة التطبيقات شائعة الاستخدام في هجمات حقن العمليات ويمكنها تحديد النشاط الضار المرتبط باستخدامها بشكل فعال.
إساءة استخدام ملفات DLL الضعيفة
كانت الإستراتيجية التي استخدمها Security Joes في تطوير Mockingjay هي البحث بشكل منهجي عن ملفات DLL داخل نظام التشغيل Windows الذي يحتوي على قسم RWX افتراضي. قام الباحثون في الشركة بتطوير أداة تستكشف نظام ملفات Windows بأكمله لتحديد ملفات DLL التي يمكن أن تكون بمثابة أدوات محتملة لحقن التعليمات البرمجية دون تشغيل تنبيه EDR. أدى الاستكشاف إلى قيام Security Joes بالعثور على ملف DLL (msys-2.0.dll) بمساحة 16 كيلو بايت من مساحة RWX في Visual Studio 2022 Community التي يمكنهم استخدامها لإدخال التعليمات البرمجية الخاصة بهم وتنفيذها.
قال Security Joes: "بعد تحديد ملف DLL الضعيف الذي يحتوي على قسم القراءة والكتابة والتنفيذ الافتراضي (RWX) على القرص، أجرينا عدة اختبارات لاستكشاف طريقتين مختلفتين يمكنهما الاستفادة من هذا التكوين الخاطئ لتنفيذ التعليمات البرمجية في الذاكرة".
كانت إحدى الطرق هي تحميل ملف DLL الضعيف مباشرة في مساحة الذاكرة الخاصة بتطبيق مخصص يسمىكابوس.exe والذي طوره Security Joes. سمح القيام بذلك للباحثين بإدخال وتنفيذ كود القشرة الخاص بهم في مساحة ذاكرة التطبيق دون الاستفادة من أي واجهات برمجة تطبيقات Windows. من بين أمور أخرى، قام كود القشرة أيضًا بإزالة جميع خطافات EDR دون إطلاق أي تنبيهات. وقالت الشركة: "إن هذه الإزالة الكاملة للاعتماد على Windows APIs لا تقلل من احتمالية الاكتشاف فحسب، بل تعزز أيضًا فعالية التقنية".
كان التكتيك الثاني الذي اتبعه Security Joes لإساءة استخدام قسم RWX في مكتبة الارتباط الحيوي (DLL) هو إجراء عملية حقن في عملية عن بعد. لتحقيق ذلك، قاموا أولاً بتحديد الثنائيات التي تستخدم mysys-2.0.dll لعملياتهم. ارتبط العديد منها بأدوات مساعدة GNU والتطبيقات الأخرى التي تتطلب محاكاة POSIX. ولإثبات صحة المفهوم، اختار الباحثون عملية ssh.exe في Visual Studio 2022 Community كهدف لحقن التعليمات البرمجية الخاصة بهم. وأوضحت الشركة: "من المهم ملاحظة أنه في طريقة الحقن هذه، ليست هناك حاجة لإنشاء سلسلة رسائل بشكل صريح داخل العملية المستهدفة، حيث تقوم العملية تلقائيًا بتنفيذ الكود المحقون".
وفقًا لـ Security Joes، فإن ملف DLL الذي استخدمه باحثوها لتطوير Mockingjay هو مجرد واحد من العديد من الملفات الأخرى التي يمكن إساءة استخدامها بالمثل لأغراض حقن التعليمات البرمجية. تتطلب معالجة التهديد أدوات أمان نقطة النهاية التي لا تراقب فقط واجهات برمجة التطبيقات (API) وملفات DLL المحددة، ولكنها تستخدم أيضًا التحليل السلوكي وتقنيات التعلم الآلي لتحديد عملية الحقن.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/mockingjay-edr-tools-process-injection-technique
- :يكون
- :ليس
- :أين
- 2022
- 7
- a
- التأهيل
- نشاط
- تضيف
- العنوان
- معالجة
- بعد
- تهدف
- ملاحظه
- التنبيهات
- الكل
- توزيع
- أيضا
- البديل
- من بين
- an
- تحليل
- و
- آخر
- أي وقت
- واجهات برمجة التطبيقات
- تطبيق
- التطبيقات
- نهج
- مناسب
- هي
- AS
- أسوشيتد
- At
- الهجمات
- محاولات
- تلقائيا
- BE
- أصبح
- لكن
- by
- تسمى
- CAN
- مميز
- اختار
- الكود
- مجموعة
- مشترك
- عادة
- مجتمع
- حول الشركة
- إكمال
- تسوية
- أجرت
- الواردة
- يحتوي
- تقليد
- استطاع
- خلق
- على
- الترتيب
- المدافعين عن حقوق الإنسان
- التبعية
- كشف
- المتقدمة
- تطوير
- مختلف
- مباشرة
- do
- فعل
- دون
- اثنان
- ديناميكي
- حيوي
- كل
- على نحو فعال
- فعالية
- فعال
- جهد
- إما
- نقطة النهاية
- أمن نقطة النهاية
- يعزز
- كامل
- حتى
- تنفيذ
- ينفذ
- تنفيذ
- شرح
- استكشاف
- اكتشف
- استكشاف
- قم بتقديم
- العثور على
- شركة
- الاسم الأول
- في حالة
- وظيفة
- توليد
- يملك
- السنانير
- HTTPS
- محدد
- تحديد
- تحديد
- أهمية
- in
- تتضمن
- على نحو متزايد
- حقن
- مثل
- واجهات
- إلى
- IT
- انها
- JPG
- م
- واحد فقط
- تعلم
- الرافعة المالية
- روافع
- الاستفادة من
- المكتبات
- LINK
- تحميل
- آلة
- آلة التعلم
- التلاعب
- كثير
- آلية
- مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
- طريقة
- طرق
- تخفيف
- تعديل
- مراقبة
- مراقبة
- أكثر
- حاجة
- جديد
- لا
- رواية
- عدد
- of
- on
- ONE
- فقط
- عمليات
- or
- OS
- أخرى
- أخرى
- لنا
- خارج
- الخاصة
- P&E
- أنماط
- إذن
- أذونات
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- محتمل
- يحتمل
- عملية المعالجة
- العمليات
- برمجة وتطوير
- حماية
- أغراض
- دفع
- عرض
- يتلقى
- يقلل
- الاعتماد
- عن بعد
- إزالة
- إزالة
- تقرير
- تطلب
- مطلوب
- يتطلب
- بحث
- الباحثين
- استجابة
- نتيجة
- تشغيل
- قال
- بحث
- الثاني
- القسم
- أمن
- خدمة
- طقم
- ضبط
- عدة
- وبالمثل
- الأصغر
- تطبيقات الكمبيوتر
- الفضاء
- محدد
- ابتداء
- خطوات
- الإستراتيجيات
- ستوديو
- نظام
- أنظمة
- الهدف
- المستهدفة
- تقنيات
- اختبارات
- أن
- •
- من مشاركة
- هناك.
- تشبه
- هم
- الأشياء
- هذا الأسبوع
- التهديد
- إلى
- أداة
- أدوات
- اثار
- اثنان
- نموذجي
- فريد من نوعه
- us
- تستخدم
- مستعمل
- خدمات
- السيارات
- افتراضي
- الضعيفة
- وكان
- طريق..
- we
- أسبوع
- كان
- التي
- نوافذ
- مع
- في غضون
- بدون
- اكتب
- زفيرنت
