Čitatelji poput vas podržavaju MUO. Kada kupite putem poveznica na našoj stranici, možemo zaraditi partnersku proviziju. Čitaj više.

Shvaćanje da je vektor napada pokrenut u vašoj mreži točno ispred vašeg nosa može biti šokantno. Odigrali ste svoju ulogu implementirajući nešto što se činilo kao učinkovita sigurnosna obrana, ali napadač ih je svejedno uspio zaobići. Kako je to moguće?

Mogli su primijeniti ubacivanje procesa umetanjem zlonamjernih kodova u vaše legitimne procese. Kako funkcionira ubrizgavanje procesa i kako ga možete spriječiti?

Što je Process Injection?

Ubacivanje procesa je proces u kojem napadač ubacuje zlonamjerne kodove u legitiman i aktivan proces u mreži. Prevladavaju napadi zlonamjernog softvera, omogućuje cyber akterima da zaraze sustave na najnepreglednije načine. Napredna tehnika kibernetičkog napada, uljez ubacuje zlonamjerni softver u vaše važeće procese i uživa privilegije tih procesa.

Kako funkcionira Process Injection?

Najučinkovitije vrste napada su one koje se mogu odvijati u pozadini bez izazivanja sumnje. Prijetnju od zlonamjernog softvera obično možete otkriti ocrtavanjem i ispitivanjem svih procesa u vašoj mreži. Ali otkrivanje ubacivanja procesa nije tako lako jer se kodovi skrivaju ispod sjene vaših legitimnih procesa.

instagram viewer

Budući da ste svoje ovlaštene procese stavili na popis dopuštenih, vaši će sustavi za otkrivanje potvrditi da su valjani bez naznaka da nešto nije u redu. Umetnuti procesi također zaobilaze forenziku diska jer se zlonamjerni kodovi pokreću u memoriji dopuštenog procesa.

Napadač koristi nevidljivost kodova za pristup svim aspektima vaše mreže kojima mogu pristupiti legitimni procesi ispod kojih se skrivaju. To uključuje određene administrativne povlastice koje ne biste dodijelili baš nikome.

Iako proces ubrizgavanja može lako proći nezapaženo, napredni sigurnosni sustavi ih mogu otkriti. Dakle, kibernetički kriminalci podižu ljestvicu izvodeći ga na najskromnije načine koje će takvi sustavi previdjeti. Koriste osnovne Windows procese kao što su cmd.exe, msbuild.exe, explorer.exe itd. pokrenuti takve napade.

3 Tehnike ubrizgavanja procesa

Postoje različite tehnike ubrizgavanja procesa za različite svrhe. Budući da akteri kibernetičkih prijetnji dobro poznaju različite sustave i njihovu sigurnosnu poziciju, koriste najprikladniju tehniku ​​kako bi povećali svoju stopu uspjeha. Pogledajmo neke od njih.

1. DLL injekcija

DLL (Dynamic Link Library) ubacivanje je tehnika ubacivanja procesa u kojoj haker koristi biblioteku dinamičke veze kako biste utjecali na izvršni proces, prisiljavajući ga da se ponaša na načine koje niste namjeravali ili očekivati.

Napad ubacuje kod s namjerom da poništi izvorni kod u vašem sustavu i upravlja njime na daljinu.

Kompatibilno s nekoliko programa, DLL injection omogućuje programima da koriste kod više puta bez gubitka valjanosti. Da bi proces ubacivanja DLL-a bio uspješan, zlonamjerni softver mora sadržavati podatke zaražene DLL datoteke u vašoj mreži.

2. PE Injection

Portable Execution (PE) je metoda ubacivanja procesa gdje napadač inficira valjani i aktivni proces u vašoj mreži štetnom PE slikom. Jednostavniji je od drugih tehnika ubrizgavanja procesa jer ne zahtijeva vještine kodiranja ljuske. Napadači mogu lako napisati PE kod u osnovnom C++.

PE ubrizgavanje je bez diska. Zlonamjerni softver ne treba kopirati svoje podatke na bilo koji disk prije početka ubrizgavanja.

3. Proces Hollowing

Process Hollowing je tehnika ubacivanja procesa gdje, umjesto korištenja postojećeg legitimnog procesa, napadač stvara novi proces, ali ga inficira zlonamjernim kodom. Napadač razvija novi proces kao svchost.exe datoteku ili notepad. Na taj način nećete smatrati sumnjivim čak i ako biste ga otkrili na svom popisu procesa.

Novi zlonamjerni proces se ne pokreće odmah. Kibernetički kriminalac ga čini neaktivnim, povezuje ga s legitimnim procesom i stvara prostor za njega u memoriji sustava.

Kako možete spriječiti proces ubrizgavanja?

Ubacivanje procesa može uništiti cijelu vašu mrežu jer bi napadač mogao imati najvišu razinu pristupa. Uvelike ćete im olakšati rad ako su ubrizgani procesi upućeni u vašu najvrjedniju imovinu. Ovo je jedan napad koji morate nastojati spriječiti ako niste spremni izgubiti kontrolu nad svojim sustavom.

Ovdje su neki od najučinkovitijih načina za sprječavanje procesa ubrizgavanja.

1. Usvojiti popis dopuštenih

Stavljanje na popis dopuštenih je proces navođenje skupa aplikacija koji mogu ući u vašu mrežu na temelju vaše sigurnosne procjene. Sigurno ste smatrali da su stavke na vašem popisu dopuštenih bezopasne i osim ako dolazni promet ne spada unutar pokrivenosti vašeg popisa dopuštenih, oni ne mogu proći.

Da biste spriječili ubacivanje procesa s popisom dopuštenih, morate također dodati korisnički unos na svoj popis dopuštenih. Mora postojati skup unosa koji može proći kroz vaše sigurnosne provjere. Dakle, ako napadač napravi bilo kakav unos izvan vaše nadležnosti, sustav će ga blokirati.

2. Pratite procese

U onoj mjeri u kojoj uvođenje procesa može zaobići neke sigurnosne provjere, možete ga preokrenuti tako da pažljivo pratite ponašanje procesa. Da biste to učinili, prvo morate ocrtati očekivanu izvedbu određenog procesa, a zatim je usporediti s njegovom trenutnom izvedbom.

Prisutnost zlonamjernih kodova u procesu uzrokovat će neke promjene, bez obzira na to koliko male one bile za proces. Obično biste previdjeli te promjene jer su beznačajne. Ali kada želite otkriti razlike između očekivane izvedbe i trenutne izvedbe putem praćenja procesa, primijetit ćete anomaliju.

3. Kodiranje izlaza

Akteri kibernetičkih prijetnji često koriste Cross-Site Scripting (XSS) za ubacivanje opasno kodova u procesu ubrizgavanja. Ti se kodovi pretvaraju u skripte koje se pokreću u pozadini vaše mreže bez vašeg znanja. Možete spriječiti da se to dogodi provjerom i čišćenjem svih sumnjivih unosa. Zauzvrat, oni će biti prikazani kao podaci, a ne zlonamjerni kodovi kako je predviđeno.

Kodiranje izlaza najbolje funkcionira s HTML kodiranjem—tehnikom koja vam omogućuje kodiranje varijabilnog izlaza. Identificirate neke posebne znakove i zamijenite ih alternativama.

Spriječite ubacivanje procesa pomoću sigurnosti vođene inteligencijom

Uvođenje procesa stvara dimnu zavjesu koja prekriva zlonamjerne kodove unutar važećeg i operativnog procesa. Ono što vidite nije ono što dobivate. Napadači razumiju učinkovitost ove tehnike i kontinuirano je koriste za iskorištavanje korisnika.

Da biste se borili protiv ubacivanja procesa, morate nadmudriti napadača tako da ne budete toliko očiti sa svojom obranom. Provedite sigurnosne mjere koje će biti nevidljive na površini. Mislit će da se igraju s vama, ali bez da znaju, vi ste taj koji izigrava njih.