La nouvelle technique d’injection de processus de Mockingjay peut échapper à la plupart des mécanismes de sécurité existants, ce qui permet de contourner le RGPD. Il s’agit d’un processus trivial, qui ne nécessite qu’un minimum d’étapes, et qui donne des résultats maximums simplement en exploitant des DLL légitimes.
Un chercheur a mis au point une technique d’injection de processus dans Mockingjay
Selon un récent billet de Security Joes, Mockingjay est une stratégie avancée d’injection de processus qui réussit à contourner la plupart des mesures de détection.
L’injection de processus est une stratégie d’attaque connue dans laquelle un adversaire peut injecter des codes directement dans un processus en cours d’exécution de confiance. Parmi les types d’injection de processus, on peut citer l’injection de bibliothèque de liens dynamiques et le Doppelgänging de processus. L’objectif est d’échapper à la détection tout en accédant à la mémoire du processus et aux ressources du réseau et d’élever les privilèges.
Bien qu’il s’agisse d’une technique viable, l’injection de processus implique certaines actions spécifiques, telles que l’interaction avec les API Windows, que la plupart des systèmes EDR (Endpoint Detection and Response) existants surveillent efficacement. C’est là que Mockingjay prend toute son importance, car il permet d’échapper à ces systèmes de détection et de réponse. En effet, Mockingjay ne s’appuie pas sur les API de Windows, mais utilise les sections RWX (lecture, écriture, exécution) des DLL légitimes.
Le billet décrivant Mockingjay se lit comme suit ,
Notre approche unique, qui consiste à tirer parti d’une DLL vulnérable et à copier le code dans la section appropriée, nous a permis d’injecter du code sans allocation de mémoire, ni définition de permission, ni même démarrage d’un thread dans le processus ciblé.
En bref, les chercheurs ont démontré leur stratégie d’attaque via la DLL vulnérable msys-2.0.dll à l’intérieur de Visual Studio 2022 Community. L’équipe a recherché cette DLL et a constaté qu’elle possédait la section RWX par défaut qu’ils pouvaient exploiter. Ils ont ensuite chargé cette DLL dans l’espace mémoire de leurs apps personnalisées pour charger et exécuter le code injecté.
L’attaque s’est déroulée entièrement sans utilisation de l’API Windows, ce qui démontre l’efficacité du contournement des EDR. De plus, elle n’a pas nécessité d’allocation de mémoire, de paramètres de permission ou de création de threads pour l’exécution du code.
Les chercheurs ont partagé les détails de Mockingjay dans leur post, tandis que la vidéo suivante démontre la technique.
Remédiation suggérée
Étant donné que Mockingjay indique l’inefficacité des mesures de protection des terminaux existantes, les chercheurs conseillent aux organisations de mettre en place une analyse dynamique pour analyser les comportements d’exécution, d’identifier les activités anormales, d’employer une détection basée sur les signatures pour les menaces connues, de déployer un filtrage basé sur la réputation pour signaler les activités suspectes, et d’assurer une protection robuste de la mémoire.
Fais-nous part de tes réflexions dans les commentaires.
