• Votre panier est vide.

  • LOGIN

La technique d’injection du procédé Mockingjay permet le contournement de l’EDR


Certains articles de veille peuvent faire l'objet de traduction automatique.


La nouvelle technique d’injection de processus Mockingjay peut échapper à la plupart des mécanismes de sécurité existants, permettant le contournement EDR. Il s’agit d’un processus trivial à exécuter, qui nécessite un minimum d’étapes et fournit des résultats maximaux simplement en exploitant des DLL légitimes.

Un chercheur a conçu la technique d’injection du procédé Mockingjay

Selon un post récent de Security Joes, Mockingjay est une stratégie avancée d’injection de processus qui contourne avec succès la plupart des mesures de détection.

L’injection de processus est une stratégie d’attaque connue dans laquelle un adversaire peut injecter des codes directement dans un processus en cours d’exécution de confiance. Certains types d’injection de processus incluent Dynamic-link Library Injection et Process Doppelgänging. L’objectif est d’échapper à la détection tout en accédant à la mémoire de processus et aux ressources réseau et d’obtenir des privilèges élevés.

Bien qu’il s’agisse d’une technique viable, l’injection de processus implique certaines actions spécifiques, telles que l’interaction avec les API Windows, que la plupart des systèmes EDR (Endpoint Detection and Response) existants surveillent efficacement. C’est là que Mockingjay devient important car il permet d’échapper à ces EDR. C’est parce que Mockingjay ne s’appuie pas sur les API Windows ; mais utilise à la place des sections légitimes de DLL RWX (lecture, écriture, exécution).

Décrivant Mockingjay, le message se lit comme suit,

Notre approche unique, qui consiste à tirer parti d’une DLL vulnérable et à copier le code dans la section appropriée, nous a permis d’injecter du code sans allocation de mémoire, ni paramètre d’autorisation, ni même de démarrer un thread dans le processus ciblé.

En bref, les chercheurs ont démontré leur stratégie d’attaque via la DLL vulnérable msys-2.0.dll à l’intérieur de la communauté Visual Studio 2022. L’équipe a recherché cette DLL et a découvert qu’elle possédait la section RWX par défaut qu’elle pouvait exploiter. Ils ont ensuite chargé cette DLL dans l’espace mémoire de leurs applications personnalisées pour charger et exécuter le code injecté.

L’attaque s’est déroulée entièrement sans l’utilisation de l’API Windows, démontrant l’efficacité du contournement des EDR. De plus, il ne nécessitait pas d’allocation de mémoire, de paramètres d’autorisation ou de création de threads pour l’exécution de code.

Les chercheurs ont partagé les détails sur Mockingjay dans leur article, tandis que la vidéo suivante montre la technique.

Correction suggérée

Étant donné que Mockingjay indique l’inefficacité des mesures de protection des terminaux existantes, les chercheurs conseillent aux organisations de mettre en œuvre une analyse dynamique pour analyser les comportements d’exécution, identifier les activités anormales, utiliser la détection basée sur les signatures pour les menaces connues, déployer un filtrage basé sur la réputation pour signaler les activités suspectes et s’assurer que protection robuste de la mémoire.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

juillet 7, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)