Схватање да је вектор напада покренут у вашој мрежи тачно испод вашег носа може бити шокантно. Одиграли сте своју улогу имплементирајући оно што је изгледало као ефикасна безбедносна одбрана, али је нападач ипак успео да их заобиђе. Како је то било могуће?
Могли су да примене убризгавање процеса уметањем злонамерних кодова у ваше легитимне процесе. Како функционише убризгавање процеса и како га можете спречити?
Шта је процесна ињекција?
Убацивање процеса је процес у коме нападач убацује злонамерне кодове у легитиман и живи процес у мрежи. Преовладава нападима злонамерног софтвера, омогућава сајбер актерима да заразе системе на најнезахтевније начине. Напредна техника сајбер напада, уљез убацује малвер у ваше важеће процесе и ужива у привилегијама тих процеса.
Како функционише убризгавање процеса?
Најефикасније врсте напада су оне које могу да се одвијају у позадини без изазивања сумње. Обично бисте могли да откријете претњу од малвера тако што ћете оцртати и испитати све процесе у вашој мрежи. Али откривање убризгавања процеса није тако лако јер се кодови скривају под сенкама ваших легитимних процеса.
Пошто сте своје овлашћене процесе ставили на белу листу, ваши системи за детекцију ће потврдити да су валидни без назнака да нешто није у реду. Убачени процеси такође заобилазе форензику диска јер се злонамерни кодови покрећу у меморији легалног процеса.
Нападач користи невидљивост кодова да приступи свим аспектима ваше мреже којима могу приступити легитимни процеси под којима се крију. Ово укључује одређене административне привилегије које не бисте дали никоме.
Иако убризгавање процеса лако може остати непримећено, напредни безбедносни системи могу да их открију. Дакле, сајбер криминалци подижу љествицу тако што га извршавају на најнезахтјевније начине које ће такви системи превидјети. Они користе основне Виндовс процесе као што су цмд.еке, мсбуилд.еке, екплорер.еке, итд. да покрене такве нападе.
3 Технике убризгавања процеса
Постоје различите технике убризгавања процеса за различите сврхе. Пошто су актери сајбер претњи веома упућени у различите системе и њихов безбедносни положај, они примењују најприкладнију технику да повећају своју стопу успеха. Погледајмо неке од њих.
1. ДЛЛ Ињецтион
ДЛЛ (Динамиц Линк Либрари) убризгавање је техника убризгавања процеса у којој хакер користи библиотека динамичких веза да утиче на извршни процес, приморавајући га да се понаша на начин на који нисте намеравали или очекивати.
Напад убацује код са намером да надјача оригинални код у вашем систему и контролише га на даљину.
Компатибилан са неколико програма, ДЛЛ ињекција омогућава програмима да користе код више пута без губитка ваљаности. Да би процес убризгавања ДЛЛ-а био успешан, злонамерни софтвер мора да садржи податке контаминиране ДЛЛ датотеке у вашој мрежи.
2. ПЕ Ињецтион
Преносно извршење (ПЕ) је метода убризгавања процеса где нападач инфицира важећи и активни процес у вашој мрежи штетном ПЕ сликом. Једноставније је од других техника убризгавања процеса јер не захтева вештине кодирања шкољке. Нападачи могу лако да напишу ПЕ код у основном Ц++.
ПЕ убризгавање је без диска. Злонамерни софтвер не мора да копира своје податке ни на један диск пре него што убризгавање почне.
3. Процес Холловинг
Процес Холловинг је техника убризгавања процеса где, уместо да користи постојећи легитимни процес, нападач креира нови процес, али га инфицира злонамерним кодом. Нападач развија нови процес као свцхост.еке датотеку или бележницу. На тај начин вам то неће бити сумњиво чак ни ако бисте га открили на листи процеса.
Нови злонамерни процес не почиње одмах. Сајбер-криминалац га чини неактивним, повезује га са легитимним процесом и ствара простор за њега у меморији система.
Како можете спречити убризгавање процеса?
Убацивање процеса може уништити целу вашу мрежу јер нападач може имати највиши ниво приступа. Много олакшавате њихов рад ако су уведени процеси повезани са вашим најцењенијим средствима. Ово је један напад који морате да спречите ако нисте спремни да изгубите контролу над својим системом.
Ево неких од најефикаснијих начина за спречавање убризгавања процеса.
1. Усвојите белу листу
Стављање на белу листу је процес навођење скупа апликација који могу ући у вашу мрежу на основу ваше безбедносне процене. Мора да сте сматрали да су ставке на вашој белој листи безопасне, и осим ако долазни саобраћај не спада у покривеност ваше беле листе, оне не могу да прођу.
Да бисте спречили убацивање процеса са белом листом, такође морате да додате кориснички унос на вашу белу листу. Мора постојати скуп улазних података којима је дозвољено да прођу кроз ваше безбедносне провере. Дакле, ако нападач изврши било какав унос ван ваше јурисдикције, систем ће га блокирати.
2. Монитор Процессес
Колико год ињекција процеса може да заобиђе неке безбедносне провере, можете је променити обраћајући велику пажњу на понашање процеса. Да бисте то урадили, прво морате да опишете очекивани учинак одређеног процеса, а затим га упоредите са његовим тренутним перформансама.
Присуство злонамерних кодова у процесу ће изазвати неке промене, без обзира на то колико су мале у процесу. Обично бисте превидјели те промјене јер су безначајне. Али када сте заинтересовани да откријете разлике између очекиваних перформанси и тренутних перформанси путем праћења процеса, приметићете аномалију.
3. Енцоде Оутпут
Актери сајбер претњи често користе Цросс-Сите Сцриптинг (КССС) за убацивање опасног кодови у процесној ињекцији. Ови кодови се претварају у скрипте које се покрећу у позадини ваше мреже без вашег знања. То можете спречити тако што ћете проверити и очистити све сумњиве податке. Заузврат, они ће бити приказани као подаци, а не као злонамерни кодови како је предвиђено.
Кодирање излаза најбоље функционише са ХТМЛ кодирањем — техником која вам омогућава да кодирате променљиви излаз. Идентификујете неке посебне знакове и замените их алтернативним.
Спречите убризгавање процеса уз сигурност засновану на интелигенцији
Убацивање процеса ствара димну завесу која прикрива злонамерне кодове унутар важећег и оперативног процеса. Оно што видите није оно што добијате. Нападачи разумеју ефикасност ове технике и континуирано је користе за искоришћавање корисника.
Да бисте се борили против убризгавања процеса, морате да надмудрите нападача тако што ћете бити не тако очигледни са својом одбраном. Спроведите мере безбедности које ће бити невидљиве на површини. Они ће мислити да вас изигравају, али а да они не знају, ви сте тај који их игра.