Uvedomenie si, že vektor útoku beží vo vašej sieti priamo pod nosom, môže byť šokujúce. Zohrali ste svoju úlohu implementáciou toho, čo vyzeralo ako účinná bezpečnostná obrana, ale útočníkovi sa ich aj tak podarilo obísť. Ako to bolo možné?
Mohli nasadiť vstrekovanie procesov vložením škodlivých kódov do vašich legitímnych procesov. Ako funguje procesné vstrekovanie a ako tomu môžete zabrániť?
Čo je procesná injekcia?
Process injection je proces, pri ktorom útočník vkladá škodlivé kódy do legitímneho a živého procesu v sieti. Prevládajú útoky škodlivého softvéru, umožňuje kybernetickým aktérom infikovať systémy tými najnenápadnejšími spôsobmi. Pokročilá technika kybernetického útoku, útočník vloží malvér do vašich platných procesov a využíva privilégiá týchto procesov.
Ako funguje procesné vstrekovanie?
Najúčinnejšie druhy útokov sú tie, ktoré môžu prebiehať na pozadí bez vzbudzovania podozrenia. Za normálnych okolností by ste mohli odhaliť malvérovú hrozbu načrtnutím a preskúmaním všetkých procesov vo vašej sieti. Zistenie vstrekovania procesu však nie je také jednoduché, pretože kódy sa skrývajú v tieni vašich legitímnych procesov.
Keďže ste svoje autorizované procesy pridali na bielu listinu, vaše detekčné systémy ich potvrdia ako platné bez náznaku, že niečo nie je v poriadku. Injektované procesy tiež obchádzajú diskovú forenznú analýzu, pretože škodlivé kódy bežia v pamäti legálneho procesu.
Útočník využíva neviditeľnosť kódov na prístup ku všetkým aspektom vašej siete, ku ktorým majú prístup legitímne procesy, pod ktorými sa skrývajú. To zahŕňa určité administratívne privilégiá, ktoré by ste neudelili takmer nikomu.
Hoci proces vstrekovania môže ľahko zostať nepovšimnutý, pokročilé bezpečnostné systémy ich dokážu odhaliť. Takže kyberzločinci zvyšujú latku tým, že ju vykonávajú tými najnenápadnejšími spôsobmi, ktoré takéto systémy prehliadnu. Používajú základné procesy Windows ako cmd.exe, msbuild.exe, explorer.exe atď. začať takéto útoky.
3 Procesné vstrekovacie techniky
Existujú rôzne techniky procesného vstrekovania na rôzne účely. Keďže aktéri kybernetických hrozieb sú veľmi dobre informovaní o rôznych systémoch a ich bezpečnostnom postavení, nasadzujú najvhodnejšiu techniku na zvýšenie ich úspešnosti. Pozrime sa na niektoré z nich.
1. DLL injekcia
DLL (Dynamic Link Library) vstrekovanie je technika vstrekovania procesov, pri ktorej hacker používa a dynamicky prepojená knižnica ovplyvní spustiteľný proces a prinúti ho správať sa spôsobom, ktorý ste nezamýšľali očakávať.
Útok vloží kód so zámerom prepísať pôvodný kód vo vašom systéme a ovládať ho na diaľku.
Kompatibilné s niekoľkými programami, DLL vstrekovanie umožňuje programom použiť kód viackrát bez straty platnosti. Aby bol proces vkladania DLL úspešný, malvér musí obsahovať údaje kontaminovaného súboru DLL vo vašej sieti.
2. PE injekcia
Portable Execution (PE) je metóda vstrekovania procesu, pri ktorej útočník infikuje platný a aktívny proces vo vašej sieti škodlivým obrazom PE. Je to jednoduchšie ako iné techniky procesného vstrekovania, pretože si nevyžaduje zručnosti v oblasti kódovania. Útočníci môžu jednoducho napísať kód PE v základnom jazyku C++.
PE vstrekovanie je bezdiskové. Malvér nemusí pred začatím injekcie kopírovať svoje údaje na žiadny disk.
3. Procesné vyhĺbenie
Process Hollowing je technika vstrekovania procesov, pri ktorej útočník namiesto využitia existujúceho legitímneho procesu vytvorí nový proces, ale infikuje ho škodlivým kódom. Útočník vyvinie nový proces ako súbor svchost.exe alebo poznámkový blok. Týmto spôsobom vám to nebude pripadať podozrivé, aj keď by ste to našli vo svojom zozname procesov.
Nový škodlivý proces sa nespustí okamžite. Kyberzločinec ho robí neaktívnym, spája ho s legitímnym procesom a vytvára mu priestor v pamäti systému.
Ako môžete zabrániť procesnej injekcii?
Proces vstrekovania môže zničiť celú vašu sieť, pretože útočník môže mať najvyššiu úroveň prístupu. Veľmi im uľahčíte prácu, ak sú vložené procesy zasvätené vašim najcennejším aktívam. Toto je jeden útok, ktorému sa musíte snažiť zabrániť, ak nie ste pripravení stratiť kontrolu nad svojím systémom.
Tu sú niektoré z najúčinnejších spôsobov, ako zabrániť vstrekovaniu procesu.
1. Prijať bielu listinu
Whitelisting je proces zoznam množiny aplikácií ktoré môžu vstúpiť do vašej siete na základe vášho hodnotenia bezpečnosti. Položky na vašej bielej listine ste museli považovať za neškodné a pokiaľ prichádzajúca návštevnosť nespadá do oblasti pokrytia vašej bielej listiny, nemôžu prechádzať.
Ak chcete zabrániť vloženiu procesu pomocou pridávania na bielu listinu, musíte do svojej bielej listiny pridať aj vstup používateľa. Musí existovať súbor vstupov, ktoré môžu prejsť vašimi bezpečnostnými kontrolami. Ak teda útočník urobí akýkoľvek vstup mimo vašej jurisdikcie, systém ho zablokuje.
2. Monitorovať procesy
Keďže vstrekovanie procesu môže obísť niektoré bezpečnostné kontroly, môžete to zmeniť tak, že budete venovať veľkú pozornosť správaniu procesu. Aby ste to dosiahli, musíte najskôr načrtnúť očakávaný výkon konkrétneho procesu a potom ho porovnať s jeho súčasným výkonom.
Prítomnosť škodlivých kódov v procese spôsobí určité zmeny, bez ohľadu na to, aké malé môžu byť pre proces. Normálne by ste tieto zmeny prehliadli, pretože sú bezvýznamné. Ale keď chcete zistiť rozdiely medzi očakávaným výkonom a súčasným výkonom prostredníctvom monitorovania procesov, všimnete si anomáliu.
3. Kódovať výstup
Aktéri kybernetických hrozieb často využívajú Cross-Site Scripting (XSS) na vloženie nebezpečného obsahu kódov v procesnej injekcii. Tieto kódy sa menia na skripty, ktoré bežia na pozadí vašej siete bez vášho vedomia. Môžete tomu zabrániť preverením a vyčistením všetkých podozrivých vstupov. Na druhej strane sa zobrazia ako údaje a nie ako škodlivé kódy.
Kódovanie výstupu funguje najlepšie s kódovaním HTML – technikou, ktorá vám umožňuje kódovať variabilný výstup. Identifikujete niektoré špeciálne znaky a nahradíte ich alternatívami.
Zabráňte vstrekovaniu procesov pomocou zabezpečenia riadeného inteligenciou
Process injection vytvára dymovú clonu, ktorá zakrýva škodlivé kódy v rámci platného a funkčného procesu. To, čo vidíte, nie je to, čo dostanete. Útočníci chápu účinnosť tejto techniky a neustále ju využívajú na zneužívanie používateľov.
Ak chcete bojovať proti procesným injekciám, musíte útočníka prekabátiť tým, že nebudete až tak očividní, čo sa týka vašej obrany. Implementujte bezpečnostné opatrenia, ktoré budú na povrchu neviditeľné. Budú si myslieť, že vás hrajú, ale bez toho, aby o tom vedeli, ste to vy, kto ich hrá.