اینڈ پوائنٹ کا پتہ لگانے اور رسپانس (EDR) سسٹم عام عمل کے انجیکشن کی کوششوں کا پتہ لگانے میں تیزی سے موثر ہو گئے ہیں جو چلتے ہوئے عمل کی میموری کی جگہ میں کوڈ داخل کرنے کے لیے ایپلیکیشن پروگرامنگ انٹرفیس کے امتزاج کو مدعو کرتے ہیں۔
چنانچہ اسرائیل میں مقیم سیکیورٹی جوز کے محققین نے EDR کی نگرانی والے APIs پر بھروسہ کیے بغیر انجکشن لگانے کا ایک اور طریقہ تلاش کیا۔ نتیجہ Mockingjay ہے، پراسیس انجیکشن کے لیے ایک نیا طریقہ جو ڈائنامک لنک لائبریریز (DLLs) کو ڈیفالٹ پڑھنے، لکھنے، اور ایکسیکیوٹ (RWX) کی اجازتوں سے فائدہ اٹھاتا ہے تاکہ کوڈ کو چلتے ہوئے عمل کے ایڈریس اسپیس میں دھکیل سکے۔
موکنگجے اپروچ
سیکیورٹی جوز نے اس ہفتے کی ایک رپورٹ میں کہا کہ یہ نقطہ نظر ایک نقصان دہ عمل انجیکشن کی کوشش کا پتہ لگانے والے اختتامی نقطہ حفاظتی طریقہ کار کے امکانات کو کم کرتا ہے اور اسے حاصل کرنے کے لیے بہت کم اقدامات کی ضرورت ہوتی ہے۔ "ہماری تحقیق کا مقصد تھا۔ کوڈ کو متحرک طور پر چلانے کے لیے متبادل طریقے دریافت کریں۔ سیکیورٹی فرم نے کہا کہ ونڈوز پروسیس کی میموری کی جگہ کے اندر، مانیٹر شدہ ونڈوز APIs پر بھروسہ کیے بغیر۔
"ہمارا منفرد نقطہ نظر، جس میں کمزور DLL کا فائدہ اٹھانا اور کوڈ کو مناسب سیکشن میں کاپی کرنا شامل ہے، ہمیں میموری مختص کیے بغیر، اجازت کی ترتیب، یا یہاں تک کہ ہدف کے عمل میں تھریڈ شروع کیے بغیر کوڈ انجیکشن کرنے کی اجازت دیتا ہے۔"
پروسیس انجیکشن ایک تکنیک ہے جس میں کسی عمل کی یادداشت کو جوڑ کر یا تو نئی فعالیت شامل کی جاتی ہے یا اس کے رویے میں ترمیم کی جاتی ہے۔ حملہ آور عام طور پر یہ طریقہ استعمال کرتے ہیں۔ بدنیتی پر مبنی کوڈ کو چھپائیں اور پتہ لگانے سے بچیں۔ سمجھوتہ شدہ نظاموں پر۔ عام عمل انجیکشن کے طریقوں میں خود انجیکشن شامل ہے جہاں ایک عمل جو انجیکشن پے لوڈ وصول کرتا ہے اسے بھی انجام دیتا ہے۔ DLL انجیکشن جہاں ایک نقصان دہ DLL کسی عمل کی میموری کی جگہ میں لوڈ ہوتا ہے۔ اور PE انجیکشن جہاں ایک پورٹیبل ایگزیکیوٹیبل فائل کو چلتے ہوئے عمل کی میموری میں میپ کیا جاتا ہے۔
سیکورٹی جوز نے اپنی رپورٹ میں کہا، "ان میں سے ہر ایک انجیکشن تکنیک کے لیے مخصوص Windows APIs کے ایک سیٹ کی ضرورت ہوتی ہے، جو خصوصیت کے نمونے تیار کرتے ہیں جو ڈیفنڈرز اور سیکیورٹی سافٹ ویئر کے ذریعے پتہ لگانے اور تخفیف کے مقاصد کے لیے استعمال کیے جا سکتے ہیں،" سیکیورٹی جوز نے اپنی رپورٹ میں کہا۔ مثال کے طور پر، سیلف انجیکشن کے لیے درکار APIs ہیں VirtualAlloc، LocalAlloc، GlobalAlloc، اور Virtual Protect، کمپنی نے کہا۔ اسی طرح، PE انجیکشن میں استعمال ہونے والے APIs ہیں VirtualAllocEx، WriteProcessMemory، اور CreateRemoteThread۔ زیادہ تر EDR سسٹمز کو انجیکشن کے حملوں میں عام طور پر استعمال ہونے والے APIs کی نگرانی کے لیے بنایا گیا ہے اور ان کے استعمال سے وابستہ بدنیتی پر مبنی سرگرمی کی مؤثر طریقے سے شناخت کر سکتے ہیں۔
کمزور DLLs کا غلط استعمال
Mockingjay کو تیار کرنے میں سیکیورٹی جوز کی حکمت عملی کا استعمال یہ تھا کہ ونڈوز OS کے اندر DLLs کو منظم طریقے سے تلاش کیا جائے جس میں ڈیفالٹ RWX سیکشن موجود ہو۔ کمپنی کے محققین نے ایک ایسا ٹول تیار کیا جس نے پورے ونڈوز فائل سسٹم کو ڈی ایل ایل کی شناخت کے لیے دریافت کیا جو EDR الرٹ کو متحرک کیے بغیر کوڈ انجیکشن کے لیے ممکنہ گاڑیوں کے طور پر کام کر سکتے ہیں۔ اس تلاش کے نتیجے میں سیکیورٹی جوز کو بصری اسٹوڈیو 2.0 کمیونٹی میں 16KB RWX جگہ کے ساتھ DLL (msys-2022.dll) ملا جسے وہ اپنے کوڈ کو انجیکشن لگانے اور اس پر عمل درآمد کرنے کے لیے استعمال کر سکتے ہیں۔
سیکیورٹی جوز نے کہا، "کمزور DLL کی شناخت کرنے کے بعد جس میں ڈسک پر ڈیفالٹ ریڈ-رائٹ-ایگزیکٹ (RWX) سیکشن شامل ہے، ہم نے دو مختلف طریقوں کو تلاش کرنے کے لیے کئی ٹیسٹ کیے جو میموری میں کوڈ پر عمل درآمد کرنے کے لیے اس غلط کنفیگریشن کا فائدہ اٹھا سکتے ہیں۔"
ایک طریقہ یہ تھا کہ کمزور DLL کو اپنی مرضی کے مطابق ایپلی کیشن کی میموری اسپیس میں براہ راست لوڈ کیا جائے جسے Nightmare.exe کہتے ہیں جسے سیکیورٹی جوز نے تیار کیا تھا۔ ایسا کرنے سے محققین کو کسی بھی ونڈوز API کا فائدہ اٹھائے بغیر ایپلی کیشن کی میموری اسپیس میں اپنے شیل کوڈ کو انجیکشن اور اس پر عمل درآمد کرنے کی اجازت ملی۔ دوسری چیزوں کے علاوہ، شیل کوڈ نے بغیر کسی الرٹ کے تمام EDR ہکس کو بھی ہٹا دیا۔ "Windows APIs پر انحصار کا یہ مکمل خاتمہ نہ صرف پتہ لگانے کے امکانات کو کم کرتا ہے بلکہ تکنیک کی تاثیر کو بھی بڑھاتا ہے،" کمپنی نے کہا۔
DLL میں RWX سیکشن کو غلط استعمال کرنے کے لیے سیکیورٹی جوز کا دوسرا حربہ دور دراز کے عمل میں پراسیس انجیکشن کرنا تھا۔ اس کو حاصل کرنے کے لیے، انہوں نے سب سے پہلے بائنریز کی نشاندہی کی جنہوں نے اپنے آپریشنز کے لیے mysys-2.0.dll استعمال کیا۔ ان میں سے بہت سے GNU یوٹیلیٹیز اور دیگر ایپلی کیشنز سے وابستہ تھے جن کے لیے POSIX ایمولیشن کی ضرورت ہوتی ہے۔ تصور کے ثبوت کے لیے، محققین نے بصری اسٹوڈیو 2022 کمیونٹی میں اپنے کوڈ کو انجیکشن لگانے کے ہدف کے طور پر ssh.exe عمل کا انتخاب کیا۔ کمپنی نے وضاحت کی کہ "یہ نوٹ کرنا ضروری ہے کہ انجیکشن کے اس طریقے میں، ہدف کے عمل کے اندر واضح طور پر ایک دھاگہ بنانے کی ضرورت نہیں ہے، کیونکہ یہ عمل خود بخود انجکشن والے کوڈ پر عمل درآمد کرتا ہے۔"
سیکیورٹی جوز کے مطابق، اس کے محققین نے Mockingjay کو تیار کرنے کے لیے جس DLL کا استعمال کیا، وہ ممکنہ طور پر بہت سے دوسرے لوگوں میں سے ایک ہے جس کا اسی طرح کوڈ انجیکشن کے مقاصد کے لیے غلط استعمال کیا جا سکتا ہے۔ خطرے سے نمٹنے کے لیے اینڈ پوائنٹ سیکیورٹی ٹولز کی ضرورت ہوتی ہے جو نہ صرف مخصوص APIs اور DLLs کی نگرانی کرتے ہیں بلکہ عمل کے انجیکشن کی شناخت کے لیے رویے کے تجزیہ اور مشین لرننگ تکنیک کا بھی استعمال کرتے ہیں۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ آٹوموٹو / ای وی، کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- بلاک آفسیٹس۔ ماحولیاتی آفسیٹ ملکیت کو جدید بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/application-security/mockingjay-edr-tools-process-injection-technique
- : ہے
- : نہیں
- :کہاں
- 2022
- 7
- a
- حاصل
- سرگرمی
- شامل کریں
- پتہ
- خطاب کرتے ہوئے
- کے بعد
- مقصد
- انتباہ
- تنبیہات سب
- تمام
- تین ہلاک
- بھی
- متبادل
- کے درمیان
- an
- تجزیہ
- اور
- ایک اور
- کوئی بھی
- APIs
- درخواست
- ایپلی کیشنز
- نقطہ نظر
- مناسب
- کیا
- AS
- منسلک
- At
- حملے
- کوششیں
- خود کار طریقے سے
- BE
- بن
- لیکن
- by
- کہا جاتا ہے
- کر سکتے ہیں
- خصوصیت
- کا انتخاب کیا
- کوڈ
- مجموعہ
- کامن
- عام طور پر
- کمیونٹی
- کمپنی کے
- مکمل
- سمجھوتہ کیا
- منعقد
- پر مشتمل ہے
- پر مشتمل ہے
- کاپی
- سکتا ہے
- تخلیق
- اپنی مرضی کے
- پہلے سے طے شدہ
- دفاع
- انحصار
- کھوج
- ترقی یافتہ
- ترقی
- مختلف
- براہ راست
- do
- کر
- ڈان
- دو
- متحرک
- متحرک طور پر
- ہر ایک
- مؤثر طریقے
- تاثیر
- ہنر
- کوشش
- یا تو
- اختتام پوائنٹ
- اختتام پوائنٹ سیکورٹی
- بڑھاتا ہے
- پوری
- بھی
- عملدرآمد
- پھانسی
- پھانسی
- وضاحت کی
- کی تلاش
- تلاش
- وضاحت کی
- فائل
- مل
- تلاش
- فرم
- پہلا
- کے لئے
- فعالیت
- پیدا
- ہے
- ہکس
- HTTPS
- کی نشاندہی
- شناخت
- کی نشاندہی
- اہم
- in
- شامل
- دن بدن
- انجکشن
- مثال کے طور پر
- انٹرفیسز
- میں
- IT
- میں
- فوٹو
- صرف
- صرف ایک
- سیکھنے
- لیوریج
- لیتا ہے
- لیورنگنگ
- لائبریریوں
- LINK
- لوڈ
- مشین
- مشین لرننگ
- جوڑ توڑ
- بہت سے
- میکانزم
- یاد داشت
- طریقہ
- طریقوں
- تخفیف
- نظر ثانی کرنے
- کی نگرانی
- نگرانی کی
- سب سے زیادہ
- ضرورت ہے
- نئی
- نہیں
- ناول
- تعداد
- of
- on
- ایک
- صرف
- آپریشنز
- or
- OS
- دیگر
- دیگر
- ہمارے
- باہر
- خود
- پی اینڈ ای
- پیٹرن
- اجازت
- اجازتیں
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- ممکنہ
- ممکنہ طور پر
- عمل
- عمل
- پروگرامنگ
- حفاظت
- مقاصد
- پش
- پڑھیں
- موصول
- کم
- یقین ہے
- ریموٹ
- ہٹانے
- ہٹا دیا گیا
- رپورٹ
- کی ضرورت
- ضرورت
- کی ضرورت ہے
- تحقیق
- محققین
- جواب
- نتیجہ
- چل رہا ہے
- کہا
- تلاش کریں
- دوسری
- سیکشن
- سیکورٹی
- خدمت
- مقرر
- قائم کرنے
- کئی
- اسی طرح
- چھوٹے
- سافٹ ویئر کی
- خلا
- مخصوص
- شروع
- مراحل
- حکمت عملی
- سٹوڈیو
- کے نظام
- سسٹمز
- ہدف
- ھدف بنائے گئے
- تکنیک
- ٹیسٹ
- کہ
- ۔
- ان
- وہاں.
- یہ
- وہ
- چیزیں
- اس
- اس ہفتے
- خطرہ
- کرنے کے لئے
- کے آلے
- اوزار
- ٹرگر
- دو
- ٹھیٹھ
- منفرد
- us
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- افادیت
- گاڑیاں
- مجازی
- قابل اطلاق
- تھا
- راستہ..
- we
- ہفتے
- تھے
- جس
- کھڑکیاں
- ساتھ
- کے اندر
- بغیر
- لکھنا
- زیفیرنیٹ