Mõistmine, et teie võrgus on otse teie nina all ründevektor jooksnud, võib olla šokeeriv. Tegite oma osa, rakendades näiliselt tõhusaid turvameetmeid, kuid ründajal õnnestus neist siiski mööda minna. Kuidas see võimalik oli?
Nad oleksid võinud juurutada protsessisüsti, sisestades teie seaduslikesse protsessidesse pahatahtlikud koodid. Kuidas süstimisprotsess toimib ja kuidas seda vältida?
Mis on protsessi süstimine?
Protsessi süstimine on protsess, mille käigus ründaja sisestab pahatahtlikud koodid võrgu seaduslikku ja aktiivsesse protsessi. Levinud pahavara rünnakute korral, võimaldab see küberosalejatel süsteeme nakatada kõige tagasihoidlikumatel viisidel. Täiustatud küberrünnaku tehnika, sissetungija lisab pahavara teie kehtivatesse protsessidesse ja naudib nende protsesside privileege.
Kuidas protsessi süstimine töötab?
Kõige tõhusamad rünnakud on need, mis võivad toimuda taustal ilma kahtlust tekitamata. Tavaliselt saate pahavaraohu tuvastada, kirjeldades ja uurides kõiki võrgus olevaid protsesse. Kuid protsessi süstimise tuvastamine pole nii lihtne, kuna koodid peidavad end teie seaduslike protsesside varjus.
Kuna olete lisanud oma volitatud protsessid lubatud protsesside loendisse, kinnitavad teie tuvastamissüsteemid nende kehtivust ilma, et midagi oleks valesti. Sisestatud protsessid mööduvad ka ketta kohtuekspertiisist, kuna pahatahtlikud koodid töötavad seadusliku protsessi mälus.
Ründaja kasutab koodide nähtamatust, et pääseda juurde teie võrgu kõikidele aspektidele, millele pääsevad juurde nende peidetud seaduslikud protsessid. See hõlmab teatud administraatoriõigusi, mida te ei annaks peaaegu kellelegi.
Kuigi protsessi süstimine võib kergesti märkamatuks jääda, suudavad täiustatud turvasüsteemid need tuvastada. Seega tõstavad küberkurjategijad latti kõrgemale, teostades seda kõige tagasihoidlikumatel viisidel, millest sellised süsteemid kahe silma vahele jäävad. Nad kasutavad Windowsi põhiprotsesse, nagu cmd.exe, msbuild.exe, explorer.exe jne. selliseid rünnakuid korraldada.
3 Protsessi süstimistehnikad
Erinevatel eesmärkidel on erinevaid protsessi süstimise tehnikaid. Kuna küberohtude osalejad on erinevatest süsteemidest ja nende turvaseisundist väga kursis, kasutavad nad oma edukuse suurendamiseks sobivaimat tehnikat. Vaatame mõnda neist.
1. DLL-i süstimine
DLL (Dynamic Link Library) süstimine on protsesside sisestamise tehnika, milles häkker kasutab a dünaamiline lingiteek, et mõjutada käivitatavat protsessi, sundides seda käituma viisil, mida te ei kavatsenud või oodata.
Rünnak sisestab koodi eesmärgiga, et see alistaks teie süsteemi algse koodi ja juhiks seda eemalt.
Ühildub mitme programmiga, DLL-i süstimine võimaldab programmidel kasutada koodi mitu korda ilma kehtivust kaotamata. DLL-i sisestamise protsessi õnnestumiseks peab pahavara sisaldama teie võrgus oleva saastunud DLL-faili andmeid.
2. PE süstimine
Portable Execution (PE) on protsessi sisestamise meetod, mille puhul ründaja nakatab teie võrgu kehtiva ja aktiivse protsessi kahjuliku PE-kujutisega. See on lihtsam kui muud protsessi süstimise tehnikad, kuna see ei nõua kesta kodeerimise oskusi. Ründajad saavad hõlpsasti kirjutada PE-koodi lihtsas C++ keeles.
PE süstimine on kettata. Pahavara ei pea enne süstimise algust oma andmeid ühelegi kettale kopeerima.
3. Protsess õõnestamist
Protsessi õõnestamine on protsessi sisestamise tehnika, mille puhul ründaja loob olemasoleva seadusliku protsessi kasutamise asemel uue protsessi, kuid nakatab selle pahatahtliku koodiga. Ründaja arendab uue protsessi svchost.exe faili või märkmikuna. Nii ei pea te seda kahtlaseks isegi siis, kui avastaksite selle oma protsesside loendist.
Uus pahatahtlik protsess ei käivitu kohe. Küberkurjategija muudab selle passiivseks, ühendab selle legitiimse protsessiga ja loob selle jaoks ruumi süsteemi mällu.
Kuidas saate protsessi süstimist vältida?
Protsessi süstimine võib hävitada kogu teie võrgu, kuna ründajal võib olla kõrgeim juurdepääs. Muudate nende töö palju lihtsamaks, kui sisestatud protsessid on teie kõige hinnatumate varade käsutuses. See on üks rünnak, mida peate püüdma ära hoida, kui te pole valmis oma süsteemi üle kontrolli kaotama.
Siin on mõned kõige tõhusamad viisid protsessi süstimise vältimiseks.
1. Võtke valge nimekiri vastu
Valge nimekirja lisamine on protsess rakenduste komplekti loetlemine mis võivad teie turvahinnangu põhjal teie võrku siseneda. Olete kindlasti pidanud oma valges nimekirjas olevaid üksusi kahjutuks ja kui sissetulev liiklus ei kuulu teie lubatud loendi katvusse, ei saa need läbi minna.
Protsessi sisestamise vältimiseks valgesse loendisse lisamisega peate oma lubatud loendisse lisama ka kasutaja sisendi. Peab olema sisend, millel on lubatud teie turvakontrolli läbida. Seega, kui ründaja sisestab väljaspool teie jurisdiktsiooni, blokeerib süsteem nad.
2. Protsesside jälgimine
Kui protsessi süstimine võib mõnest turvakontrollist mööda minna, saate selle ümber pöörata, pöörates protsessi käitumisele suurt tähelepanu. Selleks peate esmalt visandama konkreetse protsessi eeldatava jõudluse ja seejärel võrdlema seda praeguse toimivusega.
Pahatahtlike koodide olemasolu protsessis põhjustab mõningaid muudatusi, olenemata sellest, kui väikesed need protsessis on. Tavaliselt jätaksite need muudatused kahe silma vahele, kuna need on tähtsusetud. Kuid kui soovite protsessi jälgimise abil avastada erinevusi eeldatava jõudluse ja praeguse jõudluse vahel, märkate anomaaliat.
3. Väljundi kodeerimine
Küberohtude tegelased kasutavad sageli Saididevaheline skriptimine (XSS) ohtlikuks süstimiseks koodid protsessisüstis. Need koodid muutuvad skriptideks, mis töötavad teie võrgu taustal teie teadmata. Saate seda vältida, kontrollides ja puhastades kõik kahtlased sisendid. Need kuvatakse omakorda andmetena, mitte pahatahtlike koodidena, nagu ette nähtud.
Väljundkodeering töötab kõige paremini HTML-kodeeringuga – tehnikaga, mis võimaldab kodeerida muutuvat väljundit. Tuvastate mõned erimärgid ja asendate need alternatiividega.
Ennetage protsesside sisestamist luurepõhise turvalisusega
Protsessi süstimine loob suitsukatte, mis varjab kehtivas ja toimivas protsessis olevad pahatahtlikud koodid. See, mida näete, ei ole see, mida saate. Ründajad mõistavad selle tehnika tõhusust ja kasutavad seda pidevalt kasutajate ärakasutamiseks.
Protsessisüstide vastu võitlemiseks peate ründaja üle kavaldama, jättes oma kaitsemehhanismide suhtes mitte niivõrd silma. Rakendage turvameetmeid, mis on pinnal nähtamatud. Nad arvavad, et mängivad sind, kuid ilma nende teadmata mängid neid sina.