Ce este injecția de proces și cum o poți preveni?

Ce este injecția de proces și cum o poți preveni?
Cititorii ca tine ajută la sprijinirea MUO. Când efectuați o achiziție folosind link-uri de pe site-ul nostru, este posibil să câștigăm un comision de afiliat. Citeşte mai mult.

Să realizezi că un vector de atac a rulat în rețeaua ta chiar sub nasul tău poate fi șocant. Ți-ai jucat rolul prin implementarea a ceea ce părea a fi apărări de securitate eficiente, dar atacatorul a reușit să le ocolească oricum. Cum a fost posibil?





Ei ar fi putut implementa injecția de proces prin inserarea de coduri rău intenționate în procesele dvs. legitime. Cum funcționează injecția de proces și cum o poți preveni?



REALIZAREA VIDEOCLIPULUI ZILEI

Ce este injecția de proces?

Procesul de injectare este un proces prin care un atacator injectează coduri rău intenționate într-un proces legitim și activ dintr-o rețea. Prevalent cu atacurile malware , le permite actorilor cibernetici să infecteze sistemele în cele mai modeste moduri. O tehnică avansată de atac cibernetic, intrusul inserează malware în procesele tale valide și se bucură de privilegiile acelor procese.





cum fuzionez două conturi facebook

Cum funcționează injecția de proces?

Laptop pe un birou de lucru

Cele mai eficiente tipuri de atacuri sunt cele care pot rula în fundal fără a ridica suspiciuni. În mod normal, puteți detecta o amenințare de malware prin conturarea și examinarea tuturor proceselor din rețeaua dvs. Dar detectarea injectării procesului nu este atât de ușoară, deoarece codurile se ascund sub umbra proceselor tale legitime.

Deoarece ați trecut pe lista albă procesele dvs. autorizate, sistemele dvs. de detectare le vor certifica ca fiind valide, fără nicio indicație că ceva nu este în regulă. Procesele injectate ocolesc, de asemenea, criminalistica discului, deoarece codurile rău intenționate rulează în memoria procesului licit.



Atacatorul folosește invizibilitatea codurilor pentru a accesa toate aspectele rețelei dvs. pe care le pot accesa procesele legitime sub care se ascund. Aceasta include anumite privilegii administrative pe care nu le-ați acorda nimănui.

Deși injecția de proces poate trece cu ușurință neobservată, sistemele avansate de securitate le pot detecta. Deci, infractorii cibernetici ridică ștacheta executând-o în cele mai modeste moduri pe care astfel de sisteme le vor trece cu vederea. Ei folosesc procese de bază Windows precum cmd.exe, msbuild.exe, explorer.exe etc. pentru a lansa astfel de atacuri.



3 Tehnici de injecție de proces

Există diferite tehnici de injecție de proces pentru diferite scopuri. Deoarece actorii amenințărilor cibernetice sunt foarte cunoscuți despre diferitele sisteme și despre statutul lor de securitate, ei implementează cea mai potrivită tehnică pentru a-și crește rata de succes. Să ne uităm la unele dintre ele.

1. Injecție DLL

Injectarea DLL (Dynamic Link Library) este o tehnică de injectare a procesului în care hackerul folosește o bibliotecă de linkuri dinamice pentru a afecta un proces executabil, forțându-l să se comporte în moduri pe care nu le-ați intenționat sau nu vă așteptați.



Atacul injectează codul cu intenția de a înlocui codul original din sistemul dumneavoastră și de a-l controla de la distanță.

Compatibilă cu mai multe programe, injecția DLL permite programelor să folosească codul de mai multe ori fără a-și pierde validitatea. Pentru ca un proces de injectare DLL să aibă succes, malware-ul trebuie să conțină date ale fișierului DLL contaminat din rețeaua dvs.

2. Injecție PE

O execuție portabilă (PE) este o metodă de injectare a procesului în care un atacator infectează un proces valid și activ din rețeaua dvs. cu o imagine PE dăunătoare. Este mai simplu decât alte tehnici de injectare a procesului, deoarece nu necesită abilități de codare shell. Atacatorii pot scrie cu ușurință codul PE în C++ de bază.

Injecția PE este fără disc. Malware-ul nu trebuie să-și copieze datele pe niciun disc înainte de a începe injecția.

3. Golirea procesului

Process Hollowing este o tehnică de injectare a procesului în care, în loc să folosească un proces legitim existent, atacatorul creează un nou proces, dar îl infectează cu cod rău intenționat. Atacatorul dezvoltă noul proces ca fișier svchost.exe sau bloc de note. În acest fel, nu îl veți găsi suspect, chiar dacă ar fi să îl descoperiți pe lista de procese.

Noul proces rău intenționat nu începe să ruleze imediat. Criminalul cibernetic îl face inactiv, îl conectează la procesul legitim și îi creează spațiu în memoria sistemului.

Cum puteți preveni injecția de proces?

Date HTML pe ecranul computerului

Injecția de proces vă poate distruge întreaga rețea, deoarece atacatorul ar putea avea cel mai înalt nivel de acces. Le faci munca mult mai ușoară dacă procesele injectate sunt la curent cu cele mai valoroase active ale tale. Acesta este un atac pe care trebuie să vă străduiți să îl preveniți dacă nu sunteți pregătit să pierdeți controlul asupra sistemului dvs.

Iată câteva dintre cele mai eficiente modalități de a preveni injectarea în proces.

1. Adoptă lista albă

Lista albă este procesul de enumerarea unui set de aplicații care poate intra în rețea pe baza evaluării dvs. de securitate. Trebuie să fi considerat articolele din lista albă inofensive și, cu excepția cazului în care traficul de intrare se încadrează în acoperirea listei albe, acestea nu pot trece.

Pentru a preveni injectarea procesului cu lista albă, trebuie să adăugați și intrarea utilizatorului în lista albă. Trebuie să existe un set de intrări cărora li se permite să treacă prin controalele de securitate. Deci, dacă un atacator face vreo intrare în afara jurisdicției dvs., sistemul le va bloca.

2. Monitorizarea proceselor

În măsura în care o injecție de proces poate ocoli unele verificări de securitate, o puteți întoarce acordând o atenție deosebită comportamentului procesului. Pentru a face acest lucru, trebuie mai întâi să subliniați performanța așteptată a unui anumit proces și apoi să o comparați cu performanța actuală.

Prezența codurilor rău intenționate într-un proces va provoca unele modificări, indiferent cât de puține ar fi acestea pentru un proces. În mod normal, ați trece cu vederea acele schimbări pentru că sunt nesemnificative. Dar atunci când sunteți dornici să descoperiți diferențele dintre performanța așteptată și performanța actuală prin monitorizarea procesului, veți observa anomalia.

3. Codificarea ieșirii

Actorii amenințărilor cibernetice folosesc adesea Cross-Site Scripting (XSS) pentru a injecta periculoase coduri într-o injecție de proces. Aceste coduri se transformă în scripturi care rulează în fundalul rețelei tale fără știrea ta. Puteți preveni acest lucru verificând și curățând toate intrările suspecte. La rândul lor, acestea vor fi afișate ca date și nu ca coduri rău intenționate, așa cum a fost prevăzut.

Codificarea ieșirii funcționează cel mai bine cu codificarea HTML - o tehnică care vă permite să codificați ieșirea variabilă. Identificați unele caractere speciale și înlocuiți-le cu alternative.

Preveniți injecția de proces cu securitate bazată pe inteligență

Injecția de proces creează o cortină de fum care acoperă codurile rău intenționate în cadrul unui proces valid și operațional. Ceea ce vezi nu este ceea ce primești. Atacatorii înțeleg eficacitatea acestei tehnici și o folosesc în mod continuu pentru a exploata utilizatorii.

Pentru a combate injecțiile de proces, trebuie să depășești atacatorul, nu fiind atât de evident cu apărarea. Implementați măsuri de securitate care vor fi invizibile la suprafață. Ei vor crede că se joacă de tine, dar fără ca ei să știe, tu ești cel care îi joacă.