Mockingjay
A Mockingjay nevű új folyamatinjektálási technikát a fenyegetés szereplői kihasználhatják a biztonsági megoldások megkerülésére, és rosszindulatú kódokat futtathatnak a feltört rendszereken – áll a Security Joes kutatóinak jelentésében.
A folyamatinjektálás (process injection) egy támadási módszer, amely lehetővé teszi az ellenfelek számára, hogy kódot fecskendezzenek be a folyamatokba, hogy elkerüljék a folyamatalapú védelmet és emeljék a jogosultságukat. Ennek során lehetővé teheti tetszőleges kód végrehajtását egy másik folyamat memóriaterében. A definíció szerint a folyamatinjektálás azokra a különféle módszerekre utal, amelyeket a rosszindulatú kód bejuttatására használnak egy folyamat memóriaterébe. Ez a technika lehetővé teszi a támadók számára, hogy elrejtsék a beadott kódot, és elkerüljék az észlelést. Ennek Windows-környezetben való megvalósításához a támadók a Windows API-k kombinációjára támaszkodnak, amelyek mindegyike egy meghatározott célt szolgál, és egy meghatározott sorrendet követ az injekciós folyamat során.
A biztonsági megoldások jól ismerik ezeket a technikákat, és mechanizmusokat fejlesztettek ki az ilyen műveletek észlelésére és blokkolására az operációs rendszerben a fertőzés során végrehajtott minták alapján. Az ilyen viselkedések megfigyelésére az EDR eszközök gyakran minden elindított folyamat memóriaterében rögzíti ezeket a Windows API-kat. Ezek a hookok elfogják és rögzítik az ezeknek a funkcióknak átadott paramétereket, lehetővé téve az EDR számára, hogy azonosítsa az ezekkel a Windows API-kkal kapcsolatos, potenciálisan rosszindulatú műveleteket.