【更勝一籌】新進程注入技術Mockingjay　成功迴避EDR偵測

網絡安全公司 Security Joes 研究員發現，一種名為 Mockingjay 的進程注入技術，可以在被攻擊的電腦設備上利用合法的 DLL 漏洞去執行惡意程式，因此有能力避開 EDR（端點偵測與回應）等安全產品的偵測，比起其他利用 DLL 入侵的同行更勝一籌，而且亦更難防禦！

Mockingjay 利用 DLL　手法更勝同行

近年不少黑客傾向使用 DLL（Dynamic-Link Library）側載攻擊，原因不外乎這些被利用的 DLL 動態連結程式庫具備可執行特性，因此只要將惡意 DLL 程式庫，取代原應用程式中所需使用的 Windows DLL 程式庫，就可在用家執行該應用程式時被載入。

不過，Security Joes 研究員指這些技術必須調用 Windows APIs 和各種系統創建進程，因此有關的具體行動仍有可能被安全工具發現而進行干預。這個名為 Mockingjay 的進程注入攻擊雖然仍是利用 DLL，但手法就完全不同。

研究員解釋，進程注入是一種利用已運行中的 DLL 進程被分配的合法儲存記憶空間，注入惡意編碼的方法，而被選中的 DLL 必須具備 RWX（讀、寫、執行）權限，由於該進程受到作業系統信任，因此在執行惡意行為時仍會被 EDR 安全工具視為合法程序。

不使用常被監測 API　繞過 EDR 偵測

研究員又表示，Mockingjay 與其他進程注入攻擊的不同之處，在於它不會使用經常被濫用的 Windows API，執行過程亦毋須提升權限，不會要求分配記憶體及創建新進程，因此逃避偵測的能力非常高。其中一個攻擊例子是 Mockingjay 可使用 Visual Studio 2022 內的 DLL msys-2.0.dll，它的默認 RWX 記憶空間為 16KB，黑客便將惡意編碼注入其中，在執行時便會被安全工具視為合法作業。

研究團隊根據 Mockingjay 的攻擊手法開發出兩種注入方式，一種用於自我注入，一種則利用遠程進程注入。在第一種情況下，一個自定義的應用程序會將存在漏洞的 DLL 加載到自家的儲存空間中，由於該 DLL 進程已被分配儲存空間及擁有讀寫及執行權限，因此在執行注入的惡意編碼時不會響起警號。

第二種方法是利用 msys-2.0.dll 的 RWX 空間，將惡意編碼遙距載入另一個已執行的子進程如 ssh.exe，再利用它逆向與攻擊者的電腦設備建立連結，同樣可達到感染電腦的目標。

研究員說上述兩種方法都不會使用經常被 EDR 工具監測的 API，例如 WriteProcessMemory、NtWriteVirtualMemory、CreateRemoteThread 等等，不太可能引起警報，因此研究員表示企業不應太過依賴 EDR 解決方案，必須採用整體安全方法，仔細分析數據記錄，才能及早發現可疑的活動。

資料來源：https://www.bleepingcomputer.com/news/security/new-mockingjay-process-injection-technique-evades-edr-detection/ 及 https://thehackernews.com/2023/06/new-mockingjay-process-injection.html