Η συνειδητοποίηση ότι ένας φορέας επίθεσης τρέχει στο δίκτυό σας ακριβώς κάτω από τη μύτη σας μπορεί να είναι σοκαριστικό. Παίξατε τον ρόλο σας εφαρμόζοντας κάτι που φαινόταν σαν αποτελεσματική άμυνα ασφαλείας, αλλά ο εισβολέας κατάφερε να τις παρακάμψει ούτως ή άλλως. Πώς ήταν αυτό δυνατό;
Θα μπορούσαν να έχουν αναπτύξει την ένεση διεργασίας εισάγοντας κακόβουλους κωδικούς στις νόμιμες διαδικασίες σας. Πώς λειτουργεί η διαδικασία ένεσης και πώς μπορείτε να την αποτρέψετε;
Τι είναι η διαδικασία ένεσης;
Η ένεση διαδικασίας είναι μια διαδικασία κατά την οποία ένας εισβολέας εισάγει κακόβουλους κώδικες σε μια νόμιμη και ζωντανή διαδικασία σε ένα δίκτυο. Διαδεδομένο με επιθέσεις κακόβουλου λογισμικού, επιτρέπει στους φορείς του κυβερνοχώρου να μολύνουν συστήματα με τον πιο ανεπιτήδευτο τρόπο. Μια προηγμένη τεχνική κυβερνοεπίθεσης, ο εισβολέας εισάγει κακόβουλο λογισμικό στις έγκυρες διαδικασίες σας και απολαμβάνει τα προνόμια αυτών των διαδικασιών.
Πώς λειτουργεί η διαδικασία ένεσης;
Τα πιο αποτελεσματικά είδη επιθέσεων είναι εκείνα που μπορούν να εκτελεστούν στο παρασκήνιο χωρίς να προκαλούν υποψίες. Κανονικά, θα μπορούσατε να εντοπίσετε μια απειλή κακόβουλου λογισμικού περιγράφοντας και εξετάζοντας όλες τις διαδικασίες στο δίκτυό σας. Αλλά η ανίχνευση της ένεσης διαδικασίας δεν είναι τόσο εύκολη, επειδή οι κωδικοί κρύβονται κάτω από τις σκιές των νόμιμων διαδικασιών σας.
Εφόσον έχετε καταχωρίσει στη λίστα επιτρεπόμενων τις εξουσιοδοτημένες διαδικασίες σας, τα συστήματα ανίχνευσης θα τις πιστοποιήσουν ότι είναι έγκυρες χωρίς καμία ένδειξη ότι κάτι δεν πάει καλά. Οι διεργασίες με ένεση παρακάμπτουν επίσης την εγκληματολογία του δίσκου επειδή οι κακόβουλοι κώδικες εκτελούνται στη μνήμη της νόμιμης διαδικασίας.
Ο εισβολέας χρησιμοποιεί την αορατότητα των κωδικών για να έχει πρόσβαση σε όλες τις πτυχές του δικτύου σας στις οποίες μπορούν να έχουν πρόσβαση οι νόμιμες διαδικασίες στις οποίες κρύβονται. Αυτό περιλαμβάνει ορισμένα διαχειριστικά προνόμια που δεν θα εκχωρούσατε σε κανέναν.
Αν και η έγχυση διαδικασίας μπορεί εύκολα να περάσει απαρατήρητη, τα προηγμένα συστήματα ασφαλείας μπορούν να τα εντοπίσουν. Έτσι, οι εγκληματίες του κυβερνοχώρου ανεβάζουν τον πήχη εκτελώντας το με τον πιο ανεπιτήδευτο τρόπο που τέτοια συστήματα θα παραβλέψουν. Χρησιμοποιούν βασικές διεργασίες των Windows όπως cmd.exe, msbuild.exe, explorer.exe κ.λπ. να εξαπολύσουν τέτοιες επιθέσεις.
3 Τεχνικές Έγχυσης Διαδικασίας
Υπάρχουν διαφορετικές τεχνικές διεργασίας έγχυσης για διαφορετικούς σκοπούς. Δεδομένου ότι οι φορείς απειλών στον κυβερνοχώρο γνωρίζουν πολύ καλά τα διάφορα συστήματα και την ασφάλειά τους, χρησιμοποιούν την πιο κατάλληλη τεχνική για να αυξήσουν το ποσοστό επιτυχίας τους. Ας δούμε μερικά από αυτά.
1. DLL Injection
Η έγχυση DLL (Βιβλιοθήκη δυναμικής σύνδεσης) είναι μια τεχνική έγχυσης διαδικασίας στην οποία ο χάκερ χρησιμοποιεί α βιβλιοθήκη δυναμικών συνδέσμων για να επηρεάσει μια εκτελέσιμη διαδικασία, αναγκάζοντάς την να συμπεριφέρεται με τρόπους που δεν σκοπεύατε ή αναμένω.
Η επίθεση εισάγει τον κώδικα με σκοπό να παρακάμψει τον αρχικό κώδικα στο σύστημά σας και να τον ελέγξει από απόσταση.
Συμβατό με πολλά προγράμματα, η έγχυση DLL επιτρέπει στα προγράμματα να χρησιμοποιούν τον κώδικα πολλές φορές χωρίς να χάσουν την εγκυρότητά τους. Για να είναι επιτυχής μια διαδικασία έγχυσης DLL, το κακόβουλο λογισμικό πρέπει να περιέχει δεδομένα του μολυσμένου αρχείου DLL στο δίκτυό σας.
2. Έγχυση PE
Το Portable Execution (PE) είναι μια μέθοδος έγχυσης διαδικασίας όπου ένας εισβολέας μολύνει μια έγκυρη και ενεργή διαδικασία στο δίκτυό σας με μια επιβλαβή εικόνα PE. Είναι απλούστερο από άλλες τεχνικές έγχυσης διαδικασίας, καθώς δεν απαιτεί δεξιότητες κωδικοποίησης κελύφους. Οι εισβολείς μπορούν εύκολα να γράψουν τον κώδικα PE στη βασική C++.
Η έγχυση PE είναι χωρίς δίσκο. Το κακόβουλο λογισμικό δεν χρειάζεται να αντιγράψει τα δεδομένα του σε οποιονδήποτε δίσκο πριν ξεκινήσει η ένεση.
3. Κοίλωση διαδικασίας
Το Process Hollowing είναι μια τεχνική έγχυσης διαδικασίας όπου, αντί να κάνει χρήση μιας υπάρχουσας νόμιμης διαδικασίας, ο εισβολέας δημιουργεί μια νέα διαδικασία αλλά τη μολύνει με κακόβουλο κώδικα. Ο εισβολέας αναπτύσσει τη νέα διαδικασία ως αρχείο svchost.exe ή σημειωματάριο. Με αυτόν τον τρόπο, δεν θα το βρείτε ύποπτο ακόμα κι αν το ανακαλύψατε στη λίστα διαδικασιών σας.
Η νέα κακόβουλη διαδικασία δεν ξεκινά να εκτελείται αμέσως. Ο κυβερνοεγκληματίας το καθιστά ανενεργό, το συνδέει με τη νόμιμη διαδικασία και δημιουργεί χώρο για αυτόν στη μνήμη του συστήματος.
Πώς μπορείτε να αποτρέψετε τη διαδικασία ένεσης;
Η ένεση διαδικασίας μπορεί να καταστρέψει ολόκληρο το δίκτυό σας, καθώς ο εισβολέας θα μπορούσε να έχει το υψηλότερο επίπεδο πρόσβασης. Κάνετε το έργο τους πολύ πιο εύκολο εάν οι διεργασίες που εισάγετε είναι μυστικές στα πιο πολύτιμα περιουσιακά σας στοιχεία. Αυτή είναι μια επίθεση που πρέπει να προσπαθήσετε να αποτρέψετε εάν δεν είστε έτοιμοι να χάσετε τον έλεγχο του συστήματός σας.
Εδώ είναι μερικοί από τους πιο αποτελεσματικούς τρόπους για την πρόληψη της διεργασίας ένεσης.
1. Υιοθετήστε τη Λευκή λίστα
Η εγγραφή στη λίστα επιτρεπόμενων είναι η διαδικασία του παραθέτοντας ένα σύνολο εφαρμογών που μπορεί να εισέλθει στο δίκτυό σας με βάση την αξιολόγηση ασφαλείας σας. Πρέπει να έχετε θεωρήσει τα στοιχεία στη λίστα επιτρεπόμενων σας ακίνδυνα και, εκτός εάν η εισερχόμενη επισκεψιμότητα εμπίπτει στην κάλυψη της λίστας επιτρεπόμενων, δεν μπορούν να περάσουν.
Για να αποτρέψετε την ένεση διεργασίας με τη λίστα επιτρεπόμενων, πρέπει επίσης να προσθέσετε στοιχεία χρήστη στη λίστα επιτρεπόμενων. Πρέπει να υπάρχει ένα σύνολο δεδομένων που επιτρέπεται να περάσει από τους ελέγχους ασφαλείας σας. Έτσι, εάν ένας εισβολέας κάνει οποιαδήποτε είσοδο εκτός της δικαιοδοσίας σας, το σύστημα θα τον αποκλείσει.
2. Παρακολούθηση Διαδικασιών
Στο βαθμό που μια ένεση διεργασίας μπορεί να παρακάμψει ορισμένους ελέγχους ασφαλείας, μπορείτε να την ανατρέψετε δίνοντας μεγάλη προσοχή στη συμπεριφορά της διαδικασίας. Για να γίνει αυτό, πρέπει πρώτα να περιγράψετε την αναμενόμενη απόδοση μιας συγκεκριμένης διαδικασίας και στη συνέχεια να τη συγκρίνετε με την τρέχουσα απόδοσή της.
Η παρουσία κακόβουλων κωδικών σε μια διεργασία θα προκαλέσει κάποιες αλλαγές, όσο μικρές και αν είναι αυτές σε μια διαδικασία. Κανονικά, θα παραβλέπατε αυτές τις αλλαγές επειδή είναι ασήμαντες. Αλλά όταν θέλετε να ανακαλύψετε διαφορές μεταξύ της αναμενόμενης απόδοσης και της τρέχουσας απόδοσης μέσω της παρακολούθησης της διαδικασίας, θα παρατηρήσετε την ανωμαλία.
3. Κωδικοποίηση εξόδου
Οι φορείς της κυβερνοαπειλής χρησιμοποιούν συχνά Cross-Site Scripting (XSS) για επικίνδυνη ένεση κωδικούς σε μια ένεση διεργασίας. Αυτοί οι κώδικες μετατρέπονται σε σενάρια που εκτελούνται στο παρασκήνιο του δικτύου σας χωρίς να το γνωρίζετε. Μπορείτε να το αποτρέψετε από το να συμβεί αυτό ελέγχοντας και καθαρίζοντας όλες τις ύποπτες εισόδους. Με τη σειρά τους, θα εμφανίζονται ως δεδομένα και όχι ως κακόβουλοι κωδικοί όπως προβλέπεται.
Η κωδικοποίηση εξόδου λειτουργεί καλύτερα με την κωδικοποίηση HTML—μια τεχνική που σας δίνει τη δυνατότητα να κωδικοποιήσετε μεταβλητή έξοδο. Προσδιορίζετε κάποιους ειδικούς χαρακτήρες και τους αντικαθιστάτε με εναλλακτικούς.
Αποτρέψτε την έγχυση διαδικασίας με ασφάλεια που βασίζεται στην ευφυΐα
Η ένεση διαδικασίας δημιουργεί ένα προπέτασμα καπνού που καλύπτει τους κακόβουλους κωδικούς σε μια έγκυρη και λειτουργική διαδικασία. Αυτό που βλέπετε δεν είναι αυτό που παίρνετε. Οι επιτιθέμενοι κατανοούν την αποτελεσματικότητα αυτής της τεχνικής και τη χρησιμοποιούν συνεχώς για να εκμεταλλεύονται τους χρήστες.
Για να καταπολεμήσετε τις διεργασιακές ενέσεις, πρέπει να ξεπεράσετε τον εισβολέα με το να μην είστε και τόσο προφανείς με τις άμυνές σας. Εφαρμόστε μέτρα ασφαλείας που θα είναι αόρατα στην επιφάνεια. Θα νομίζουν ότι σε παίζουν, αλλά χωρίς να το ξέρουν, εσύ είσαι αυτός που τους παίζει.
