Осъзнаването, че във вашата мрежа се изпълнява вектор на атака точно под носа ви, може да бъде шокиращо. Вие изиграхте своята роля, като внедрихте нещо, което изглеждаше като ефективна защита на сигурността, но нападателят успя да ги заобиколи така или иначе. Как беше възможно това?
Те може да са внедрили инжектиране на процес чрез вмъкване на злонамерени кодове във вашите законни процеси. Как работи процесното инжектиране и как можете да го предотвратите?
Какво е инжектиране на процеса?
Инжектирането на процес е процес, при който нападател инжектира злонамерени кодове в легитимен и активен процес в мрежа. Разпространен с атаки на зловреден софтуер, позволява на кибер участниците да заразяват системи по най-непретенциозните начини. Усъвършенствана техника за кибератака, нарушителят вмъква зловреден софтуер във вашите валидни процеси и се ползва от привилегиите на тези процеси.
Как работи процесното инжектиране?
Най-ефективните видове атаки са тези, които могат да се изпълняват във фонов режим, без да предизвикват подозрение. Обикновено можете да откриете заплаха от злонамерен софтуер, като очертаете и проучите всички процеси във вашата мрежа. Но откриването на инжектиране на процеси не е толкова лесно, защото кодовете се крият под сенките на вашите законни процеси.
Тъй като сте включили вашите разрешени процеси в белия списък, вашите системи за откриване ще ги удостоверят, че са валидни, без индикация, че нещо не е наред. Инжектираните процеси също заобикалят дисковата криминалистика, тъй като злонамерените кодове се изпълняват в паметта на законния процес.
Нападателят използва невидимостта на кодовете, за да получи достъп до всички аспекти на вашата мрежа, до които легитимните процеси, под които се крият, имат достъп. Това включва определени административни привилегии, които не бихте предоставили на почти никого.
Въпреки че инжектирането на процеса може лесно да остане незабелязано, усъвършенстваните системи за сигурност могат да ги открият. Така че киберпрестъпниците вдигат летвата, като го изпълняват по най-непретенциозните начини, които такива системи ще пренебрегнат. Те използват основни процеси на Windows като cmd.exe, msbuild.exe, explorer.exe и др. да предприемат подобни атаки.
3 Техники за инжектиране на процеса
Има различни техники за инжектиране на процеса за различни цели. Тъй като участниците в киберзаплахите са много добре запознати с различните системи и тяхната сигурност, те прилагат най-подходящата техника, за да увеличат степента на успех. Нека разгледаме някои от тях.
1. DLL инжекция
Инжектирането на DLL (Dynamic Link Library) е техника за инжектиране на процес, при която хакерът използва библиотека с динамични връзки, за да повлияе на изпълним процес, принуждавайки го да се държи по начини, които не сте възнамерявали или очаквам.
Атаката инжектира кода с намерението той да замени оригиналния код във вашата система и да го контролира дистанционно.
Съвместим с няколко програми, инжектирането на DLL позволява на програмите да използват кода многократно, без да губят валидност. За да бъде успешен процесът на инжектиране на DLL, зловредният софтуер трябва да съдържа данни за заразения DLL файл във вашата мрежа.
2. PE инжекция
Преносимото изпълнение (PE) е метод за инжектиране на процес, при който хакерът заразява валиден и активен процес във вашата мрежа с вредно PE изображение. По-просто е от другите техники за инжектиране на процеси, тъй като не изисква умения за кодиране на обвивка. Нападателите могат лесно да напишат PE кода на основен C++.
PE инжекцията е бездискова. Зловредният софтуер не трябва да копира данните си на диск, преди да започне инжектирането.
3. Процес на вдлъбване
Process Hollowing е техника за инжектиране на процес, при която вместо да използва съществуващ легитимен процес, атакуващият създава нов процес, но го заразява със злонамерен код. Нападателят разработва новия процес като файл svchost.exe или бележник. По този начин няма да го намерите подозрителен, дори ако го откриете в списъка си с процеси.
Новият злонамерен процес не започва да работи веднага. Киберпрестъпникът го прави неактивен, свързва го с легитимния процес и създава място за него в паметта на системата.
Как можете да предотвратите инжектиране на процеса?
Инжектирането на процес може да разруши цялата ви мрежа, тъй като нападателят може да има най-високото ниво на достъп. Вие правите тяхната работа много по-лесна, ако инжектираните процеси са посветени на вашите най-ценни активи. Това е една атака, която трябва да се стремите да предотвратите, ако не сте готови да загубите контрол над системата си.
Ето някои от най-ефективните начини за предотвратяване на процес на инжектиране.
1. Приемете бели списъци
Белият списък е процес на изброяване на набор от приложения които могат да влязат във вашата мрежа въз основа на вашата оценка за сигурност. Трябва да сте сметнали елементите в белия ви списък за безобидни и освен ако входящият трафик не попада в обхвата на белия ви списък, той не може да премине.
За да предотвратите инжектиране на процес с бели списъци, трябва също да добавите потребителски данни към вашия бял списък. Трябва да има набор от въведени данни, които могат да преминат през вашите проверки за сигурност. Така че, ако нападател направи нещо извън вашата юрисдикция, системата ще го блокира.
2. Наблюдение на процесите
Доколкото инжектирането на процес може да заобиколи някои проверки за сигурност, можете да го промените, като обърнете голямо внимание на поведението на процеса. За да направите това, първо трябва да очертаете очакваната производителност на конкретен процес и след това да я сравните с текущата му производителност.
Наличието на злонамерени кодове в процес ще доведе до някои промени, без значение колко малки могат да бъдат те за процеса. Обикновено бихте пренебрегнали тези промени, защото са незначителни. Но когато желаете да откриете разлики между очакваната производителност и текущата производителност чрез мониторинг на процеса, ще забележите аномалията.
3. Кодиране на изхода
Кибернетичните заплахи често използват Cross-Site Scripting (XSS) за инжектиране опасно кодове в процеса на инжектиране. Тези кодове се превръщат в скриптове, които се изпълняват във фонов режим на вашата мрежа без ваше знание. Можете да предотвратите това да се случи, като проверите и почистите всички подозрителни входове. На свой ред те ще се показват като данни, а не злонамерени кодове, както е предвидено.
Изходното кодиране работи най-добре с HTML кодиране – техника, която ви позволява да кодирате променлив изход. Идентифицирате някои специални знаци и ги заменяте с алтернативи.
Предотвратяване на инжектиране на процеси с управлявана от разузнаване сигурност
Инжектирането на процеса създава димна завеса, която прикрива злонамерените кодове в рамките на валиден и работещ процес. Това, което виждате, не е това, което получавате. Нападателите разбират ефикасността на тази техника и непрекъснато я използват, за да експлоатират потребителите.
За да се борите с инжектирането на процеси, трябва да надхитрите нападателя, като не сте толкова очевидни с вашите защити. Въведете мерки за сигурност, които ще бъдат невидими на повърхността. Те ще си помислят, че ви играят, но без да знаят, вие сте този, който ги играе.