Uvědomit si, že útočný vektor běží ve vaší síti přímo pod nosem, může být šokující. Sehráli jste svou roli tím, že jste implementovali něco, co vypadalo jako účinná bezpečnostní obrana, ale útočníkovi se je stejně podařilo obejít. Jak to bylo možné?
Mohli nasadit vkládání procesů vložením škodlivých kódů do vašich legitimních procesů. Jak procesní vstřikování funguje a jak tomu můžete zabránit?
Co je procesní injekce?
Process injection je proces, při kterém útočník vkládá škodlivé kódy do legitimního a živého procesu v síti. Převládají útoky malwaruumožňuje kybernetickým aktérům infikovat systémy tím nejnenápadnějším způsobem. Pokročilá technika kybernetického útoku, vetřelec vkládá malware do vašich platných procesů a využívá privilegia těchto procesů.
Jak funguje procesní vstřikování?
Nejúčinnější druhy útoků jsou ty, které mohou běžet na pozadí, aniž by vyvolaly podezření. Normálně můžete hrozbu malwaru odhalit nastíněním a prozkoumáním všech procesů ve vaší síti. Detekce vkládání procesu však není tak snadná, protože kódy se skrývají ve stínu vašich legitimních procesů.
Vzhledem k tomu, že jste své autorizované procesy přidali na bílou listinu, vaše detekční systémy je potvrdí jako platné bez náznaku, že něco není v pořádku. Injektované procesy také obcházejí diskovou forenzní analýzu, protože škodlivé kódy běží v paměti legálního procesu.
Útočník využívá neviditelnost kódů k přístupu ke všem aspektům vaší sítě, ke kterým mají přístup legitimní procesy, pod kterými se skrývají. To zahrnuje určitá administrátorská oprávnění, která byste neudělili jen tak nikomu.
Přestože procesní injekce může snadno zůstat bez povšimnutí, pokročilé bezpečnostní systémy je dokážou detekovat. Kyberzločinci tedy zvyšují laťku tím, že jej provádějí těmi nejnenápadnějšími způsoby, které takové systémy přehlédnou. Používají základní procesy Windows jako cmd.exe, msbuild.exe, explorer.exe atd. zahájit takové útoky.
3 Procesní techniky vstřikování
Existují různé techniky procesního vstřikování pro různé účely. Vzhledem k tomu, že aktéři kybernetických hrozeb jsou velmi dobře obeznámeni s různými systémy a jejich bezpečnostním postavením, nasazují nejvhodnější techniku ke zvýšení jejich úspěšnosti. Podívejme se na některé z nich.
1. DLL injekce
Vkládání DLL (Dynamic Link Library) je technika vkládání procesu, při které hacker používá a dynamicky propojovaná knihovna ovlivní spustitelný proces a přinutí ho, aby se choval způsobem, který jste nezamýšleli nebo očekávat.
Útok vloží kód s úmyslem přepsat původní kód ve vašem systému a ovládat jej na dálku.
Kompatibilní s několika programy, DLL injection umožňuje programům použít kód vícekrát bez ztráty platnosti. Aby byl proces vkládání DLL úspěšný, musí malware obsahovat data kontaminovaného souboru DLL ve vaší síti.
2. PE injekce
Portable Execution (PE) je metoda vkládání procesu, kdy útočník infikuje platný a aktivní proces ve vaší síti škodlivým obrazem PE. Je to jednodušší než jiné techniky procesního vstřikování, protože nevyžaduje dovednosti kódování shellu. Útočníci mohou snadno napsat kód PE v základním C++.
Vstřikování PE je bezdiskové. Malware nemusí před zahájením injekce kopírovat svá data na žádný disk.
3. Proces vyhloubení
Process Hollowing je technika vkládání procesů, kdy útočník namísto využití existujícího legitimního procesu vytvoří nový proces, ale infikuje ho škodlivým kódem. Útočník vyvine nový proces jako soubor svchost.exe nebo poznámkový blok. Tímto způsobem vám to nebude připadat podezřelé, i když byste to objevili na svém seznamu procesů.
Nový škodlivý proces se nespustí okamžitě. Kyberzločinec jej deaktivuje, připojí k legitimnímu procesu a vytvoří pro něj místo v paměti systému.
Jak můžete zabránit procesní injekci?
Process injection může zničit celou vaši síť, protože útočník může mít nejvyšší úroveň přístupu. Hodně jim usnadníte práci, pokud jsou vložené procesy zasvěceny do vašich nejcennějších aktiv. Toto je jeden útok, kterému se musíte snažit zabránit, pokud nejste připraveni ztratit kontrolu nad svým systémem.
Zde jsou některé z nejúčinnějších způsobů, jak zabránit injektáži procesu.
1. Přijmout Whitelist
Whitelisting je proces výpis sady aplikací které mohou vstoupit do vaší sítě na základě vašeho bezpečnostního posouzení. Položky na vaší bílé listině musíte považovat za neškodné, a pokud příchozí provoz nespadá do oblasti pokrytí vaší bílé listiny, nemohou jimi projít.
Chcete-li zabránit vkládání procesů pomocí whitelistu, musíte do své bílé listiny přidat také uživatelský vstup. Musí existovat sada vstupů, které mohou projít vašimi bezpečnostními kontrolami. Pokud tedy útočník udělá jakýkoli vstup mimo vaši jurisdikci, systém ho zablokuje.
2. Monitorování procesů
I když injekce procesu může obejít některé bezpečnostní kontroly, můžete to změnit tím, že budete věnovat velkou pozornost chování procesu. Chcete-li to provést, musíte nejprve nastínit očekávaný výkon konkrétního procesu a poté jej porovnat s jeho aktuálním výkonem.
Přítomnost škodlivých kódů v procesu způsobí určité změny, bez ohledu na to, jak malé mohou být pro proces. Normálně byste tyto změny přehlédli, protože jsou nevýznamné. Ale když chcete zjistit rozdíly mezi očekávaným výkonem a současným výkonem prostřednictvím monitorování procesu, všimnete si anomálie.
3. Kódovat výstup
Aktéři kybernetických hrozeb často využívají Cross-Site Scripting (XSS) pro vkládání nebezpečných látek kódy v procesní injekci. Tyto kódy se změní na skripty, které běží na pozadí vaší sítě bez vašeho vědomí. Tomu můžete zabránit tím, že prověříte a vyčistíte všechny podezřelé vstupy. Na druhé straně se zobrazí jako data, nikoli škodlivé kódy, jak bylo zamýšleno.
Kódování výstupu funguje nejlépe s kódováním HTML – technikou, která vám umožňuje kódovat proměnný výstup. Určíte některé speciální znaky a nahradíte je alternativami.
Zabraňte vkládání procesů pomocí zabezpečení řízeného inteligencí
Process injection vytváří kouřovou clonu, která zakrývá škodlivé kódy v rámci platného a funkčního procesu. To, co vidíte, není to, co dostanete. Útočníci chápou účinnost této techniky a neustále ji využívají ke zneužívání uživatelů.
Abyste mohli bojovat s procesními injekcemi, musíte útočníka přechytračit tím, že nebudete tak zřejmí ve své obraně. Zaveďte bezpečnostní opatření, která budou na povrchu neviditelná. Budou si myslet, že s vámi hrají, ale aniž by to věděli, vy jste ten, kdo je hraje.