Apzinoties, ka uzbrukuma vektors jūsu tīklā darbojas tieši zem jūsu deguna, var būt šokējoši. Jūs spēlējāt savu lomu, ieviešot, šķiet, efektīvus drošības aizsardzības līdzekļus, taču uzbrucējam tomēr izdevās tos apiet. Kā tas bija iespējams?
Viņi varētu būt izvietojuši procesa ievadīšanu, ievietojot ļaunprātīgus kodus jūsu likumīgajos procesos. Kā notiek procesa injekcija un kā to novērst?
Kas ir procesa injekcija?
Procesa ievadīšana ir process, kurā uzbrucējs ievada ļaunprātīgus kodus leģitīmā un dzīvā procesā tīklā. Izplatīts ar ļaunprātīgas programmatūras uzbrukumiem, tas ļauj kiberaktoriem inficēt sistēmas visvienkāršākajā veidā. Uzlabota kiberuzbrukuma tehnika, iebrucējs ievieto ļaunprātīgu programmatūru jūsu derīgajos procesos un izmanto šo procesu privilēģijas.
Kā darbojas procesa injekcija?
Visefektīvākie uzbrukumu veidi ir tie, kas var darboties fonā, neradot aizdomas. Parasti ļaunprātīgas programmatūras draudus var atklāt, izklāstot un pārbaudot visus tīklā esošos procesus. Taču procesa injekcijas noteikšana nav tik vienkārša, jo kodi slēpjas zem jūsu likumīgo procesu ēnām.
Tā kā pilnvarotos procesus esat iekļāvis baltajā sarakstā, jūsu noteikšanas sistēmas tos apliecinās kā derīgus, nenorādot, ka kaut kas nav kārtībā. Ievadītie procesi arī apiet diska kriminālistikas, jo ļaunprātīgie kodi darbojas likumīgā procesa atmiņā.
Uzbrucējs izmanto kodu neredzamību, lai piekļūtu visiem jūsu tīkla aspektiem, kuriem var piekļūt likumīgie procesi, kuros viņš slēpjas. Tas ietver noteiktas administratīvās privilēģijas, kuras jūs nepiešķirsit gandrīz nevienam.
Lai gan procesa ievadīšana var viegli palikt nepamanīta, uzlabotas drošības sistēmas var tās atklāt. Tātad, kibernoziedznieki paaugstina latiņu, izpildot to visnepieciešamākajā veidā, ko šādas sistēmas nepamanīs. Viņi izmanto pamata Windows procesus, piemēram, cmd.exe, msbuild.exe, explorer.exe utt. veikt šādus uzbrukumus.
3 Procesa injekcijas metodes
Dažādiem mērķiem ir dažādas procesa injekcijas metodes. Tā kā kiberdraudu dalībnieki ir ļoti informēti par dažādām sistēmām un to drošības stāvokli, viņi izmanto vispiemērotāko paņēmienu, lai palielinātu savu panākumu līmeni. Apskatīsim dažus no tiem.
1. DLL injekcija
DLL (Dynamic Link Library) injekcija ir procesa ievadīšanas metode, kurā hakeris izmanto a dinamisko saišu bibliotēka, lai ietekmētu izpildāmo procesu, piespiežot to rīkoties tā, kā jūs to neplānojāt vai gaidīt.
Uzbrukums ievada kodu ar nolūku, lai tas ignorētu sākotnējo kodu jūsu sistēmā un kontrolētu to attālināti.
Saderīga ar vairākām programmām, DLL injekcija ļauj programmām izmantot kodu vairākas reizes, nezaudējot derīgumu. Lai DLL ievadīšanas process būtu veiksmīgs, ļaunprogrammatūrai ir jāietver dati par piesārņoto DLL failu jūsu tīklā.
2. PE injekcija
Portable Execution (PE) ir procesa ievadīšanas metode, kurā uzbrucējs inficē derīgu un aktīvu procesu jūsu tīklā ar kaitīgu PE attēlu. Tas ir vienkāršāks nekā citas procesa ievadīšanas metodes, jo tai nav nepieciešamas čaulas kodēšanas prasmes. Uzbrucēji var viegli uzrakstīt PE kodu pamata C++ valodā.
PE injekcija ir bez diska. Ļaunprātīgajai programmatūrai nav jākopē savi dati nevienā diskā pirms injekcijas sākuma.
3. Dobšanas process
Process Hollowing ir procesa ievadīšanas paņēmiens, kurā tā vietā, lai izmantotu esošu likumīgu procesu, uzbrucējs izveido jaunu procesu, bet inficē to ar ļaunprātīgu kodu. Uzbrucējs jauno procesu izstrādā kā failu svchost.exe vai piezīmju grāmatiņu. Tādā veidā jūs to neuzskatīsit par aizdomīgu pat tad, ja to atradīsit savā procesu sarakstā.
Jaunais ļaunprātīgais process nesākas nekavējoties. Kibernoziedznieks padara to neaktīvu, savieno to ar likumīgu procesu un rada tam vietu sistēmas atmiņā.
Kā jūs varat novērst procesa injekciju?
Procesa ievadīšana var sagraut visu jūsu tīklu, jo uzbrucējam var būt visaugstākais piekļuves līmenis. Jūs ievērojami atvieglojat viņu darbu, ja ievadītie procesi ir pieejami jūsu vērtīgākajiem aktīviem. Šis ir viens uzbrukums, kas jums jācenšas novērst, ja neesat gatavs zaudēt kontroli pār savu sistēmu.
Šeit ir daži no visefektīvākajiem veidiem, kā novērst procesa injekciju.
1. Pieņemt balto sarakstu
Baltajā sarakstā ir process lietojumprogrammu kopas uzskaitījums kas var iekļūt jūsu tīklā, pamatojoties uz jūsu drošības novērtējumu. Baltajā sarakstā iekļautos vienumus noteikti uzskatījāt par nekaitīgiem, un, ja vien ienākošā datplūsma neietilpst jūsu baltajā sarakstā, tie nevarēs tikt cauri.
Lai novērstu procesa ievadīšanu ar balto sarakstu, baltajam sarakstam ir jāpievieno arī lietotāja ievade. Ir jābūt ievades kopai, kurai ir atļauts iziet drošības pārbaudes. Tātad, ja uzbrucējs veic jebkādu ievadi ārpus jūsu jurisdikcijas, sistēma to bloķēs.
2. Uzraudzīt procesus
Tā kā procesa injekcija var apiet dažas drošības pārbaudes, varat to mainīt, pievēršot īpašu uzmanību procesa darbībai. Lai to izdarītu, vispirms ir jāizklāsta paredzamā konkrēta procesa veiktspēja un pēc tam jāsalīdzina ar tā pašreizējo veiktspēju.
Ļaunprātīgu kodu klātbūtne procesā radīs dažas izmaiņas neatkarīgi no tā, cik mazas tās var būt procesā. Parasti jūs ignorētu šīs izmaiņas, jo tās ir nenozīmīgas. Bet, ja vēlaties atklāt atšķirības starp paredzamo veiktspēju un pašreizējo veiktspēju, izmantojot procesa uzraudzību, jūs pamanīsit anomāliju.
3. Kodēt izvadi
Kiberdraudu dalībnieki bieži izmanto Cross-Site skriptēšana (XSS), lai ievadītu bīstamu kodi procesa injekcijā. Šie kodi pārvēršas par skriptiem, kas darbojas jūsu tīkla fonā bez jūsu ziņas. Varat to novērst, pārbaudot un notīrot visas aizdomīgās ievades. Savukārt tie tiks parādīti kā dati, nevis ļaunprātīgi kodi, kā paredzēts.
Izvades kodējums vislabāk darbojas ar HTML kodējumu — paņēmienu, kas ļauj kodēt mainīgu izvadi. Jūs identificējat dažas īpašās rakstzīmes un aizstājat tās ar alternatīvām.
Novērsiet procesa ievadīšanu, izmantojot uz informāciju balstītu drošību
Procesa ievadīšana rada dūmu aizsegu, kas aptver ļaunprātīgus kodus derīgā un funkcionējošā procesā. Tas, ko jūs redzat, nav tas, ko jūs saņemat. Uzbrucēji saprot šīs metodes efektivitāti un pastāvīgi izmanto to, lai izmantotu lietotājus.
Lai cīnītos pret procesa injekcijām, jums ir jāpārspēj uzbrucēja gudrība, nepārliecinoties par savu aizsardzību. Ieviesiet drošības pasākumus, kas būs neredzami uz virsmas. Viņi domās, ka spēlē ar jums, bet viņiem nezinot, jūs spēlējat viņus.