Čo je procesná injekcia a ako tomu môžete zabrániť?

Čo je procesná injekcia a ako tomu môžete zabrániť?
Čitatelia ako vy pomáhajú podporovať MUO. Keď uskutočníte nákup pomocou odkazov na našej stránke, môžeme získať pridruženú províziu. Čítaj viac.

Uvedomenie si, že vektor útoku beží vo vašej sieti priamo pod nosom, môže byť šokujúce. Zohrali ste svoju úlohu implementáciou toho, čo vyzeralo ako účinná bezpečnostná obrana, ale útočníkovi sa ich aj tak podarilo obísť. Ako to bolo možné?





Mohli nasadiť vstrekovanie procesov vložením škodlivých kódov do vašich legitímnych procesov. Ako funguje procesné vstrekovanie a ako tomu môžete zabrániť?



VYUŽITIE VIDEA DŇA

Čo je procesná injekcia?

Process injection je proces, pri ktorom útočník vkladá škodlivé kódy do legitímneho a živého procesu v sieti. Prevládajú útoky škodlivého softvéru , umožňuje kybernetickým aktérom infikovať systémy tými najnenápadnejšími spôsobmi. Pokročilá technika kybernetického útoku, útočník vloží malvér do vašich platných procesov a využíva privilégiá týchto procesov.





Ako funguje procesné vstrekovanie?

Laptop na pracovnom stole

Najúčinnejšie druhy útokov sú tie, ktoré môžu prebiehať na pozadí bez vzbudzovania podozrenia. Za normálnych okolností by ste mohli odhaliť malvérovú hrozbu načrtnutím a preskúmaním všetkých procesov vo vašej sieti. Zistenie vstrekovania procesu však nie je také jednoduché, pretože kódy sa skrývajú v tieni vašich legitímnych procesov.

Keďže ste svoje autorizované procesy pridali na bielu listinu, vaše detekčné systémy ich potvrdia ako platné bez náznaku, že niečo nie je v poriadku. Injektované procesy tiež obchádzajú diskovú forenznú analýzu, pretože škodlivé kódy bežia v pamäti legálneho procesu.



Útočník využíva neviditeľnosť kódov na prístup ku všetkým aspektom vašej siete, ku ktorým majú prístup legitímne procesy, pod ktorými sa skrývajú. To zahŕňa určité administratívne privilégiá, ktoré by ste neudelili takmer nikomu.

Hoci proces vstrekovania môže ľahko zostať nepovšimnutý, pokročilé bezpečnostné systémy ich dokážu odhaliť. Takže kyberzločinci zvyšujú latku tým, že ju vykonávajú tými najnenápadnejšími spôsobmi, ktoré takéto systémy prehliadnu. Na spustenie takýchto útokov používajú základné procesy Windows ako cmd.exe, msbuild.exe, explorer.exe atď.



3 Procesné vstrekovacie techniky

Existujú rôzne techniky procesného vstrekovania na rôzne účely. Keďže aktéri kybernetických hrozieb sú veľmi dobre informovaní o rôznych systémoch a ich bezpečnostnom postavení, nasadzujú najvhodnejšiu techniku ​​na zvýšenie ich úspešnosti. Pozrime sa na niektoré z nich.

ako sa uživiť hraním videohier

1. Injekcia DLL

Vkladanie DLL (Dynamic Link Library) je technika vstrekovania procesov, pri ktorej hacker používa dynamickú knižnicu na ovplyvnenie spustiteľného procesu a prinúti ho správať sa spôsobom, ktorý ste nezamýšľali alebo neočakávali.



Útok vloží kód so zámerom prepísať pôvodný kód vo vašom systéme a ovládať ho na diaľku.

Kompatibilné s niekoľkými programami, DLL vstrekovanie umožňuje programom použiť kód viackrát bez straty platnosti. Aby bol proces vkladania DLL úspešný, malvér musí obsahovať údaje kontaminovaného súboru DLL vo vašej sieti.

2. PE injekcia

Portable Execution (PE) je metóda vstrekovania procesu, pri ktorej útočník infikuje platný a aktívny proces vo vašej sieti škodlivým obrazom PE. Je to jednoduchšie ako iné techniky procesného vstrekovania, pretože si nevyžaduje zručnosti v oblasti kódovania. Útočníci môžu jednoducho napísať kód PE v základnom jazyku C++.

PE vstrekovanie je bezdiskové. Malvér nemusí pred začatím injekcie kopírovať svoje údaje na žiadny disk.

3. Proces vyhĺbenia

Process Hollowing je technika vstrekovania procesov, pri ktorej útočník namiesto využitia existujúceho legitímneho procesu vytvorí nový proces, ale infikuje ho škodlivým kódom. Útočník vyvinie nový proces ako súbor svchost.exe alebo poznámkový blok. Týmto spôsobom vám to nebude pripadať podozrivé, aj keď by ste to našli vo svojom zozname procesov.

Nový škodlivý proces sa nespustí okamžite. Kyberzločinec ho robí neaktívnym, spája ho s legitímnym procesom a vytvára mu priestor v pamäti systému.

Ako môžete zabrániť procesnej injekcii?

Údaje HTML na obrazovke počítača

Proces vstrekovania môže zničiť celú vašu sieť, pretože útočník môže mať najvyššiu úroveň prístupu. Veľmi im uľahčíte prácu, ak sú vložené procesy zasvätené vašim najcennejším aktívam. Toto je jeden útok, ktorému sa musíte snažiť zabrániť, ak nie ste pripravení stratiť kontrolu nad svojím systémom.

Tu sú niektoré z najúčinnejších spôsobov, ako zabrániť vstrekovaniu procesu.

1. Prijmite Whitelisting

Whitelisting je proces zoznam množiny aplikácií ktoré môžu vstúpiť do vašej siete na základe vášho hodnotenia bezpečnosti. Položky na vašej bielej listine ste museli považovať za neškodné a pokiaľ prichádzajúca návštevnosť nespadá do oblasti pokrytia vašej bielej listiny, nemôžu prechádzať.

Ak chcete zabrániť vloženiu procesu pomocou pridávania na bielu listinu, musíte do svojej bielej listiny pridať aj vstup používateľa. Musí existovať súbor vstupov, ktoré môžu prejsť vašimi bezpečnostnými kontrolami. Ak teda útočník urobí akýkoľvek vstup mimo vašej jurisdikcie, systém ho zablokuje.

2. Monitorujte procesy

Keďže vstrekovanie procesu môže obísť niektoré bezpečnostné kontroly, môžete to zmeniť tak, že budete venovať veľkú pozornosť správaniu procesu. Aby ste to dosiahli, musíte najskôr načrtnúť očakávaný výkon konkrétneho procesu a potom ho porovnať s jeho súčasným výkonom.

Prítomnosť škodlivých kódov v procese spôsobí určité zmeny, bez ohľadu na to, aké malé môžu byť pre proces. Normálne by ste tieto zmeny prehliadli, pretože sú bezvýznamné. Ale keď chcete zistiť rozdiely medzi očakávaným výkonom a súčasným výkonom prostredníctvom monitorovania procesov, všimnete si anomáliu.

3. Kódovanie výstupu

Aktéri kybernetických hrozieb často využívajú Cross-Site Scripting (XSS) na vloženie nebezpečného obsahu kódov v procese vstrekovania. Tieto kódy sa menia na skripty, ktoré bežia na pozadí vašej siete bez vášho vedomia. Môžete tomu zabrániť preverením a vyčistením všetkých podozrivých vstupov. Na druhej strane sa zobrazia ako údaje a nie ako škodlivé kódy.

ako prinútiť mac, aby nezaspal

Kódovanie výstupu funguje najlepšie s kódovaním HTML – technikou, ktorá vám umožňuje kódovať variabilný výstup. Identifikujete niektoré špeciálne znaky a nahradíte ich alternatívami.

Zabráňte vstrekovaniu procesov pomocou zabezpečenia riadeného inteligenciou

Process injection vytvára dymovú clonu, ktorá zakrýva škodlivé kódy v rámci platného a funkčného procesu. To, čo vidíte, nie je to, čo dostanete. Útočníci chápu účinnosť tejto techniky a neustále ju využívajú na zneužívanie používateľov.

Ak chcete bojovať proti procesným injekciám, musíte útočníka prekabátiť tým, že nebudete až tak očividní, čo sa týka vašej obrany. Implementujte bezpečnostné opatrenia, ktoré budú na povrchu neviditeľné. Budú si myslieť, že vás hrajú, ale bez toho, aby o tom vedeli, ste to vy, kto ich hrá.