La técnica de inyección del proceso Mockingjay revelada como un método esquivo para que el malware eluda la detección
Ha surgido una técnica de inyección de proceso de vanguardia llamada Sinsajo, que presenta una vía potencial para que los actores de amenazas eludan las medidas de seguridad y ejecuten un código corrupto en los sistemas comprometidos. Los investigadores de seguridad han identificado esta técnica, que elude la necesidad de asignación de espacio, configuración de permisos o inicialización de subprocesos durante la inyección. Según su informe compartido con The Hacker News, el carácter distintivo de Sinsajo radica en su dependencia de una DLL vulnerable y la ubicación precisa del código dentro de la sección correspondiente.
Tabla de contenido
¿Qué es una Inyección de Proceso?
La inyección de procesos es un malware técnico que los malintencionados utilizan para insertar y ejecutar código dentro del espacio de memoria de un proceso legítimo que se ejecuta en una computadora. El código inyectado generalmente otorga acceso no autorizado o realiza acciones dañinas dentro del proceso objetivo, a menudo con el objetivo de eludir las medidas de seguridad y permanecer sin ser detectado. Las técnicas de inyección de procesos explotan vulnerabilidades o debilidades en el sistema operativo o las aplicaciones para obtener control sobre un proceso y manipular su comportamiento. Los métodos estándar de inyección de procesos incluyen DLL, código y vaciado de procesos.
Las técnicas de inyección de procesos son diversas y abarcan varios métodos que el malware o los actores mal orientados emplean para inyectar código en procesos legítimos. Algunas técnicas destacadas de inyección de procesos incluyen la inyección de DLL, donde una DLL comprometida se carga en un proceso de destino; inyección ejecutable portátil, que consiste en inyectar código desde un archivo ejecutable separado; secuestro de ejecución de subprocesos, donde el flujo de ejecución de un subproceso legítimo se redirige a un código incorrecto; vaciado de procesos, donde se crea un proceso legítimo y luego se reemplaza con un código incorrecto; y doppelgänging de procesos, que implica manipular el sistema de archivos y los atributos del proceso para crear un proceso inseguro.
Cada técnica se basa en llamadas al sistema específicas y API de Windows para realizar la inyección, lo que permite a los defensores desarrollar estrategias efectivas de detección y mitigación. Al comprender los mecanismos subyacentes de estos métodos de inyección, los profesionales de la seguridad pueden idear las contramedidas adecuadas y proteger los sistemas contra tales ataques.
Los rasgos únicos de Sinsajo
Sinsajo se distingue por eludir las medidas de seguridad tradicionales al utilizar hábilmente los archivos ejecutables portátiles de Windows existentes con un bloque de memoria protegido con permisos de lectura, escritura y ejecución (RWX). Este enfoque innovador elimina la necesidad de activar las API de Windows monitoreadas que normalmente monitorean las soluciones de seguridad. Al aprovechar msys-2.0.dll, que ofrece 16 KB de espacio RWX disponible, Mockingjay oculta eficazmente el código inseguro y opera de forma encubierta. Reconocer la existencia potencial de otras DLL vulnerables con atributos similares es esencial.
Sinsajo emplea dos métodos distintos; autoinyección e inyección de procesos remotos para facilitar la inyección de código, lo que resulta en una mayor eficacia de los ataques y evasión de la detección. La técnica de autoinyección consiste en cargar directamente la DLL vulnerable en el espacio de direcciones de una aplicación personalizada, lo que permite la ejecución del código deseado a través de la sección RWX. Por otro lado, la inyección de proceso remoto utiliza la sección RWX dentro de la DLL vulnerable para realizar la inyección de proceso en un proceso remoto como ssh.exe. Estas estrategias permiten a Sinsajo manipular la ejecución del código de forma sigilosa, lo que permite a los actores de amenazas evadir las medidas de detección.
Un desafío para los sistemas de detección y respuesta de punto final (EDR)
A diferencia de los enfoques tradicionales, esta estrategia innovadora elimina la necesidad de asignación de memoria, configuración de permisos o creación de subprocesos dentro del proceso de destino para iniciar la ejecución del código inyectado. Los investigadores destacaron que esta característica única plantea un desafío importante para los sistemas de detección y respuesta de punto final (EDR), ya que se desvía de los patrones típicos que deberían detectar. Estos hallazgos surgen después de otra revelación reciente de un método que aprovecha la tecnología de implementación legítima de Visual Studio llamada ClickOnce. Este método permite a los actores de amenazas lograr la ejecución de código arbitrario y obtener acceso inicial, enfatizando el panorama en evolución de técnicas de ataque sofisticadas.