Araştırmacılar, bu yöntemin, standart algılama sezgisel yöntemlerini tetiklemeden kötü amaçlı yükler yürütmek için paylaşılan bellek bölgelerinden ve iş parçacığı bağlam manipülasyonundan yararlandığını ortaya koydu.
Yeni proses enjeksiyon tekniği, yalnızca yürütme ilkellerinden yararlanarak, geleneksel bellek tahsisi ve modifikasyon modellerinden kaçınarak önde gelen uç nokta algılama ve yanıt (EDR) sistemlerini atlama yeteneğini göstermiştir.
Modern EDR çözümleri tipik olarak süreç enjeksiyon üçünü izler: bellek tahsisi (VirtualLocex), modifikasyon (WriteProcessMemory) ve yürütme tetikleyicileri (createmotethread).
.png
)
Yeni yaklaşım, mevcut süreç içi bellek yapılarını ve Windows API işlevlerini yeniden düzenleyerek ilk iki adımı ortadan kaldırır.
Bir varyant, evrensel olarak eşlenen ntdll.dll’de “0” gibi statik dizelere işaretçilerle Loadlibrarya’yı kullanır.
Saldırganlar, ayrıcalıklı bir dizinde kötü niyetli bir 0.DLL dosyasını bırakarak, sadece uzak iplik oluşturma yoluyla DLL yüklemesini başlatır.
Araştırmacılar, bu yöntemin, bellek yazan geleneksel DLL enjeksiyonunun aksine, birden fazla ticari EDR ürününde tespitten kaçındığını doğruladılar.
Aşağıdaki kavram kanıtı, bu fikri bir çalışma sürecine dönüştürmek için gereken minimal adımları göstermektedir – enjeksiyon ilkel.
Başka bir teknik, askıya alınmış uzak iş parçacıklarını ele geçirmek için setthreadContext kullanır. Kayıt durumlarını (RCX-R9) ve talimat işaretçilerini yapılandırarak, saldırganlar zinciri Winapi, hedef süreçte bulunan ROP gadget’ları aracılığıyla VirtualAlloc ve RtlfillMemory gibi çağrılar.
Bu, güvenlik araçlarına iyi huylu kendi kendini değiştirme olarak görünürken tam kabuk kodu yürütülmesini sağlar.
Araştırma ekibi, beş enjeksiyon varyantını uygulayan açık kaynaklı bir araç olan RedirectThread’i yayınladı:
- Sadece işaretçi DLL enjeksiyonu Paylaşılan kütüphane ofsetlerini kullanma.
- Createmotethread sonraki bağlam kaçırma ile.
- Ntcreatethread Doğrudan bağlam yapısı kontrolü ile.
- APC Kuyruk Yöntemleri (Queueuserapc, ntqueueapctheRex).
- İki aşamalı iş parçacığı geri dönüşümü Birden fazla yük teslimatı için.
Araç, push gibi yeniden kullanılabilir kod parçaları için hedef işlemleri arar; itmek; Bellek yazmadan parametrelenmiş API çağrılarını etkinleştirerek dizileri ret.
Özellikle, NTCreateThread yöntemi, önceden yapılandırılmış yığın ve kayıt durumları sağlayarak çekirdek seviyesi iplik başlatma kontrollerini atlar.
Tespit zorlukları ve savunma sonuçları
Rapora göre, bu araştırma mevcut enjeksiyon tespit paradigmalarındaki kritik boşlukları ortaya koymaktadır. “3’ün 2” kuralına dayanan EDR sistemleri (tahsis + yürütme veya modifikasyon + yürütme tespiti) yalnızca yürütme ilkellerini kullanarak saldırıları tanıyamaz.
Temel zorluklar şunları içerir:
- İplik oluşturma gürültüsü: Meşru araçlar hata ayıklama ve profil oluşturma için uzak iş parçacıkları oluşturun
- Bağlam manipülasyon belirsizliği: SetThreadContext hem kötü niyetli hem de iyi huylu amaçlara hizmet eder
- Yerel Bellek İşlemleri: Kaçırılan iş parçacıkları içinde kendi kendini tahsis etme, istikrarsız görünmüyor
Yazarlar, savunucuların bağlam değişiklikleriyle eşleştirilmiş hızlı iş parçacığı oluşturma patlamalarını izlemeyi önermektedir.
Bununla birlikte, uzaktan tetikleyiciler ve yerel bellek işlemleri arasında nedensel analiz uygulamak teknik olarak gerçek zamanlı tespit için talep etmektedir.
Saldırganlar odağı yürütme vektör inovasyonuna kaydırdıkça, bu araştırma, API izlemenin ötesine geçen davranışsal analiz ihtiyacının altını çizmektedir.
Süreç enjeksiyonuna karşı savaş giderek daha fazla silahlandırılmış iplik aktivitesinin, çalışma zamanı telemetri analizinde temel ilerlemeler gerektiren bir zorluk olan meşru sistem operasyonlarından ayırt edilmesine bağlıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!