Categorías: Actualidad

La técnica de inyección de proceso de Mockingjay permite la omisión de EDR

La nueva técnica de inyección de procesos de Sinsajo puede evadir la mayoría de los mecanismos de seguridad existentes, lo que permite eludir EDR. Es un proceso trivial de realizar, que requiere pasos mínimos y proporciona resultados máximos simplemente explotando archivos DLL legítimos.

Un investigador diseñó la técnica de inyección del proceso Sinsajo

Según un artículo reciente de Security Joes, Mockingjay es una estrategia avanzada de inyección de procesos que elude con éxito la mayoría de las medidas de detección.

La inyección de procesos es una estrategia de ataque conocida en la que un adversario puede inyectar códigos directamente en un proceso en ejecución confiable. Algunos tipos de inyección de proceso incluyen inyección de biblioteca de enlace dinámico y Doppelgänging de proceso. El objetivo es evadir la detección al acceder a la memoria del proceso y los recursos de la red y obtener privilegios elevados.

Si bien es una técnica viable, la inyección de procesos implica algunas acciones específicas, como la interacción con las API de Windows, que la mayoría de los sistemas de detección y respuesta de puntos finales (EDR) existentes monitorean de manera efectiva. Aquí es donde Sinsajo se vuelve importante porque ayuda a escapar de esos EDR. Esto se debe a que Sinsajo no depende de las API de Windows; pero usa secciones legítimas de RWX DLL (leer, escribir, ejecutar) en su lugar.

Al describir a Sinsajo, la publicación dice:

Nuestro enfoque único de aprovechar una DLL vulnerable y copiar el código en la sección adecuada nos permitió inyectar código sin asignación de memoria, parámetros de permiso o incluso iniciar un hilo en el proceso objetivo.

Brevemente, los investigadores demostraron su estrategia de ataque a través de la DLL vulnerable msys-2.0.dll dentro de la comunidad de Visual Studio 2022. El equipo investigó esta DLL y descubrió que tiene la sección RWX por defecto que ella podría explotar. Luego cargaron esta DLL en el espacio de memoria de sus aplicaciones personalizadas para cargar y ejecutar el código inyectado.

El ataque se llevó a cabo completamente sin el uso de la API de Windows, lo que demuestra la eficacia de eludir los EDR. Además, no requirió ninguna asignación de memoria, configuración de permisos o creación de subprocesos para la ejecución del código.

Los investigadores compartieron detalles sobre Sinsajo en su publicación, mientras que el siguiente video demuestra la técnica.

Corrección sugerida

Dado que Mockingjay señala la ineficacia de las medidas existentes de protección de endpoints, los investigadores aconsejan a las organizaciones que implementen análisis dinámicos para analizar los comportamientos de ejecución, identificar actividades anómalas, utilizar la detección basada en firmas para amenazas conocidas, implementar filtros basados ​​en la reputación para señalar actividades sospechosas y garantizar una seguridad sólida. protección de la memoria.

Háganos saber sus pensamientos en los comentarios.

Fuente

WP Dev JaGonzalez

Hijo, esposo y padre de un hermoso niño. Amante de los animales, la tecnología, informática y programación. Si tienes alguna duda, inquietud, comentario o deseas comunicarte directamente conmigo, puedes enviarme un correo electrónico a admin@jagonzalez.org

Compartir
Publicado por
WP Dev JaGonzalez

Entradas recientes

iPhone Hackeado: Qué Hacer para Proteger tu Dispositivo y Asegurar tu Seguridad

¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…

2 meses hace

Cómo Restablecer un iPhone a su Estado de Fábrica

Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…

2 meses hace

Motorola planea lanzar al menos dos nuevos teléfonos Moto G en septiembre

Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…

1 año hace

El equipo de WizardLM afirma que un modelo de IA de terceros les robó el trabajo

Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…

1 año hace

Las fallas del complemento Jupiter X Core amenazaron a 172.000 sitios web con apropiaciones de cuentas

Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…

1 año hace

Consola portátil Xbox: aquí tienes todo lo que necesitas saber al respecto

Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…

1 año hace