Suvokimas, kad atakos vektorius veikia jūsų tinkle tiesiai po jūsų nosimi, gali būti šokiruojantis. Jūs atlikote savo vaidmenį įgyvendindami, atrodo, veiksmingas apsaugos priemones, tačiau užpuolikas vis tiek sugebėjo jas apeiti. Kaip tai buvo įmanoma?
Jie galėjo įdiegti proceso injekciją, įterpdami kenkėjiškus kodus į jūsų teisėtus procesus. Kaip vyksta injekcijos procesas ir kaip to išvengti?
Kas yra proceso injekcija?
Proceso įterpimas yra procesas, kurio metu užpuolikas įveda kenkėjiškus kodus į teisėtą ir aktyvų procesą tinkle. Paplitęs su kenkėjiškų programų atakomis, leidžia kibernetiniams veikėjams užkrėsti sistemas pačiais neįmantriais būdais. Tai pažangi kibernetinės atakos technika, įsibrovėlis įterpia kenkėjiškas programas į jūsų galiojančius procesus ir naudojasi tų procesų privilegijomis.
Kaip veikia proceso injekcija?
Veiksmingiausios išpuolių rūšys yra tos, kurios gali vykti fone, nesukeldamos įtarimo. Paprastai kenkėjiškų programų grėsmę galite aptikti apibūdindami ir išnagrinėję visus savo tinklo procesus. Tačiau aptikti proceso injekciją nėra taip paprasta, nes kodai slepiasi po jūsų teisėtų procesų šešėliais.
Kadangi savo įgaliotus procesus įtraukėte į baltąjį sąrašą, jūsų aptikimo sistemos patvirtins, kad jie galioja, nenurodydami, kad kažkas negerai. Įterpti procesai taip pat apeina disko ekspertizę, nes kenkėjiški kodai veikia teisėto proceso atmintyje.
Užpuolikas naudoja kodų nematomumą, kad pasiektų visus jūsų tinklo aspektus, kuriuos gali pasiekti teisėti procesai, kuriuose jie slepiasi. Tai apima tam tikras administravimo teises, kurių nesuteiktumėte beveik niekam.
Nors proceso įpurškimas gali būti lengvai nepastebėtas, pažangios apsaugos sistemos gali juos aptikti. Taigi, kibernetiniai nusikaltėliai pakelia kartelę, vykdydami tai pačiais neįmantriais būdais, kurių tokios sistemos nepastebės. Jie naudoja pagrindinius „Windows“ procesus, tokius kaip cmd.exe, msbuild.exe, explorer.exe ir kt. pradėti tokias atakas.
3 Proceso įpurškimo būdai
Skirtingiems tikslams naudojami skirtingi proceso įpurškimo būdai. Kadangi kibernetinės grėsmės veikėjai labai gerai išmano įvairias sistemas ir jų saugumo būklę, jie taiko tinkamiausią techniką, kad padidintų savo sėkmės rodiklį. Pažvelkime į kai kuriuos iš jų.
1. DLL įpurškimas
DLL (Dynamic Link Library) injekcija yra proceso įpurškimo technika, kai įsilaužėlis naudoja a dinaminių nuorodų biblioteka, kad paveiktų vykdomąjį procesą, priversdama jį elgtis taip, kaip jūs neketinote arba tikėtis.
Ataka įveda kodą su tikslu, kad jis nepaisytų pradinio kodo jūsų sistemoje ir būtų valdomas nuotoliniu būdu.
Suderinamas su keliomis programomis, DLL injekcija leidžia programoms kelis kartus naudoti kodą neprarandant galiojimo. Kad DLL įterpimo procesas būtų sėkmingas, kenkėjiškoje programoje turi būti duomenų apie užkrėstą DLL failą jūsų tinkle.
2. PE įpurškimas
Nešiojamasis vykdymas (PE) yra proceso injekcijos metodas, kai užpuolikas užkrečia tinkamą ir aktyvų procesą jūsų tinkle žalingu PE atvaizdu. Tai paprastesnė nei kiti proceso įpurškimo būdai, nes tam nereikia apvalkalo kodavimo įgūdžių. Užpuolikai gali lengvai parašyti PE kodą pagrindine C++.
PE įpurškimas yra be disko. Prieš pradedant injekciją, kenkėjiška programa neturi kopijuoti savo duomenų į jokį diską.
3. Procesas Tuščiaviduris
Proceso tuščiaviduris pašalinimas yra proceso injekcijos technika, kai užuot pasinaudojęs esamu teisėtu procesu, užpuolikas sukuria naują procesą, bet užkrečia jį kenkėjišku kodu. Užpuolikas sukuria naują procesą kaip svchost.exe failą arba užrašų knygelę. Tokiu būdu jums tai nebus įtartina, net jei atradote jį savo procesų sąraše.
Naujas kenkėjiškas procesas pradedamas veikti ne iš karto. Kibernetinis nusikaltėlis padaro jį neaktyvų, sujungia jį su teisėtu procesu ir sukuria jam vietos sistemos atmintyje.
Kaip galite išvengti proceso injekcijos?
Proceso injekcija gali sugriauti visą tinklą, nes užpuolikas gali turėti aukščiausio lygio prieigą. Jūs žymiai palengvinate jų darbą, jei įvedami procesai priklauso jūsų labiausiai vertinamam turtui. Tai yra viena ataka, kurios turite stengtis užkirsti kelią, jei nesate pasirengę prarasti savo sistemos kontrolės.
Štai keletas efektyviausių būdų, kaip išvengti proceso injekcijos.
1. Priimti baltąjį sąrašą
Įtraukimas į baltąjį sąrašą yra procesas išvardijant programų rinkinį kurie gali patekti į jūsų tinklą pagal jūsų saugos įvertinimą. Turėjote manyti, kad jūsų baltajame sąraše esantys elementai yra nekenksmingi, ir jei įeinantis srautas nepatenka į jūsų baltąjį sąrašą, jie negali praeiti.
Kad išvengtumėte proceso įtraukimo į baltąjį sąrašą, į baltąjį sąrašą taip pat turite įtraukti naudotojo įvestį. Turi būti įvesties rinkinys, kuriam leidžiama atlikti saugos patikras. Taigi, jei užpuolikas padarys bet kokią informaciją už jūsų jurisdikcijos ribų, sistema juos užblokuos.
2. Stebėti procesus
Jei proceso įpurškimas gali apeiti kai kuriuos saugumo patikrinimus, galite jį pakeisti, atidžiai stebėdami proceso elgseną. Norėdami tai padaryti, pirmiausia turite apibūdinti numatomą konkretaus proceso našumą ir palyginti jį su dabartiniu našumu.
Kenkėjiškų kodų buvimas procese sukels tam tikrų pakeitimų, kad ir kokie maži jie būtų procese. Paprastai jūs nepastebėsite tų pokyčių, nes jie yra nereikšmingi. Tačiau kai norite stebėti skirtumus tarp laukiamo ir esamo našumo, pastebėsite anomaliją.
3. Kodavimo išvestis
Kibernetinių grėsmių veikėjai dažnai naudojasi Kryžminis scenarijus (XSS) – pavojingas kodai proceso injekcijoje. Šie kodai virsta scenarijais, kurie veikia jūsų tinklo fone be jūsų žinios. Galite to išvengti patikrinę ir išvalę visas įtartinas įvestis. Savo ruožtu jie bus rodomi kaip duomenys, o ne kenkėjiški kodai, kaip numatyta.
Išvesties kodavimas geriausiai veikia naudojant HTML kodavimą – techniką, leidžiančią užkoduoti kintamą išvestį. Jūs nustatote kai kuriuos specialiuosius simbolius ir pakeičiate juos alternatyviais.
Užkirskite kelią proceso įpurškimui naudodami intelektualią saugą
Proceso įpurškimas sukuria dūmų uždangą, kuri uždengia kenkėjiškus kodus galiojančiame ir veikiančiame procese. Tai, ką matote, nėra tai, ką gaunate. Užpuolikai supranta šios technikos veiksmingumą ir nuolat ją naudoja siekdami išnaudoti vartotojus.
Norėdami kovoti su proceso injekcijomis, turite pergudrauti užpuoliką, būdami ne tokie akivaizdūs savo gynyboje. Įdiekite saugumo priemones, kurios bus nematomos paviršiuje. Jie manys, kad vaidina tave, bet jiems to nežinant, tu vaidini juos.
