新しい Mockingjay プロセス インジェクション技術により、マルウェアが検出を回避できる可能性がある from thehackernews.com
security summary
Mockingjay と呼ばれる新しいプロセス インジェクション手法は、脅威アクターによって悪用され、セキュリティ ソリューションをバイパスし、侵害されたシステム上で悪意のあるコードを実行する可能性があります。
「この手法の独特な点は、脆弱な DLL とコードを適切なセクションにコピーする必要があることです。」
そうすることで、別のライブプロセスのメモリ空間で任意のコードが実行される可能性があります。
よく知られているプロセス インジェクション技術には、ダイナミック リンク ライブラリ (DLL) インジェクション、ポータブル実行可能ファイル インジェクション、スレッド実行ハイジャック、プロセス ハローイング、プロセス ドッペルゲンギングなどが含まれます。
一方、リモート プロセス インジェクションでは、脆弱な DLL の RWX セクションを使用して、ssh.exe などのリモート プロセスでプロセス インジェクションを実行します。
研究者らは、「この手法の独自性は、挿入されたコードの実行を開始するために、ターゲットプロセス内でメモリの割り当て、権限の設定、または新しいスレッドの作成が必要ないという事実にある」と述べた。
コメント