Površina napada zasnovana isključivo na kontekstu zaobilazi EDR rješenja

AUTOR ·

Površina napada zasnovana isključivo na kontekstu (eng. context-only attack surface) predstavlja značajnu promjenu u taktikama sajber prijetnji, onu koja iskorištava slabosti tradicionalnih metoda detekcije. Iskorištavanjem karakteristika dijeljene memorije na Windows sistemima, zlonamjerni akteri sada mogu izvršavati zlonamjerni kôd bez dodjeljivanja ili pisanja novih podataka, što mnoge softvere za detekciju i odgovor na prijetnje (eng. endpoint detection and response – EDR) čini neefikasnim.

Površina napada zasnovana isključivo na kontekstu

Površina napada zasnovana isključivo na kontekstu zaobilazi EDR rješenja; Source: Bing Image Creator

POVRŠINA NAPADA ZASNOVANA ISKLJUČIVO NA KONTEKSTU

Površina napada zasnovana isključivo na kontekstu odnosi se na novu tehniku ubrizgavanja procesa koja omogućava zlonamjernim akterima da izbjegnu otkrivanje od strane softvera za detekciju i odgovor na prijetnje (EDR). Ovaj pristup koristi postojeće primitivne elemente izvršavanja na Windows sistemima, efektivno zaobilazeći tradicionalne faze alokacije i pisanja u memoriji koje sigurnosni proizvodi obično nadziru.

Fokusirajući se isključivo na primitivne elemente izvršavanja, zlonamjerni akteri mogu izvršavati zlonamjerni kôd unutar ciljnog procesa bez pokretanja upozorenja od strane softvera za detekciju i odgovor na prijetnje (EDR). Ova tehnika eliminiše potrebu za standardnom udaljenom alokacijom ili modifikacijom memorije, što otežava otkrivanje korištenjem konvencionalnih metoda. Površina napada zasnovana isključivo na kontekstu predstavlja novi vektor napada kojeg sigurnosni stručnjaci moraju biti svjesni kako bi se efikasno branili od modernih prijetnji.

 

Evolucija tehnika ubrizgavanja procesa

Tradicionalne tehnike ubrizgavanja procesa već su neko vrijeme osnovna pojava u svijetu zlonamjernog softvera i zlonamjernih aktera. Ove metode obično slijede predvidljiv obrazac, koji uključuje alokaciju memorije u ciljnom procesu, pisanje zlonamjernog kôda u tu memoriju i konačno njegovo izvršavanje. Ovaj pristup su opsežno proučavali sigurnosni istraživači, a softveri za detekciju i odgovor na prijetnje (EDR) su posljedično usmjerili svoje mogućnosti detekcije na identifikaciju ove tri različite faze.

Međutim, kao i kod svakog promjenjivog pejzaža prijetnji, zlonamjerni akteri stalno traže nove načine da zaobiđu tradicionalne metode odbrane. U nedavnoj studiji, sigurnosni istraživači Yehuda Smirnov, Hoshea Yarden, Hai Vaknin i Noam Pomerantz su postavili intrigantno pitanje: “Šta ako u potpunosti preskočimo alokaciju i pisanje?” Ovo naizgled bezazleno istraživanje dovelo je do otkrića novog vektora napada koji koristi karakteristike dijeljene memorije Windows sistema. Iskorištavanjem ove ranjivosti, zlonamjerni akteri sada mogu izvršavati zlonamjerni kôd koristeći samo primitivne elemente za kreiranje procesa.

Ova nova tehnika koristi činjenicu da su sistemske DLL biblioteke, poput ntdll.dll, učitane na postojane bazne adrese u svim procesima. Ova nepromjenjivost omogućava zlonamjernim akterima da ponovo koriste postojeće podatke bez uvođenja promjena koje bi se mogle otkriti. Drugim riječima, oni preuzimaju već postojeći memorijski prostor i koriste ga u zlonamjerne svrhe.

Istraživači su demonstrirali ovaj koncept kreiranjem udaljenog procesa koji poziva LoadLibraryA sa pokazivačem na postojeći niz u memoriji ciljanog procesa. Kao rezultat toga, Windows učitava zlonamjerni DLL bez ikakvog pisanja podataka u ciljani proces.

 

Tri metode implementacije

Sigurnosni istraživači su identifikovali nekoliko metoda za izvršavanje zlonamjernog kôda unutar ciljnog procesa bez pisanja ikakvih podataka ili alokacije memorije. U nastavku će biti riječi o tri različita pristupa implementaciji ovih tehnika.

DLL ubrizgavanje zasnovano samo na pokazivaču

Prva metoda, poznata kao DLL ubrizgavanje zasnovano samo na pokazivaču, novi je pristup koji koristi karakteristike dijeljene memorije Windows sistema za izvršavanje zlonamjernog kôda. Kreiranjem udaljenog procesa koji pokazuje na LoadLibraryA i dostavljanjem pokazivača na postojeći niz u ciljnom procesu, zlonamjerni akteri mogu učitati zlonamjerne DLL datoteke bez pisanja ikakvih podataka u ciljni proces. Ova tehnika koristi činjenicu da se sistemski DLL datoteke poput ntdll.dll učitavaju na postojećim baznim adresama u svim procesima, što omogućava zlonamjernim akterima da ponovo koriste postojeće podatke bez uvođenja uočljivih promjena.

Ovaj pristup je posebno zanimljiv, jer omogućava zlonamjernim akterima da zaobiđu tradicionalne sigurnosne kontrole koje se oslanjaju na obrasce alokacije i dealokacije memorije. Korištenjem postojećeg niza u dijeljenoj sistemskoj DLL datoteci kao osnove za svoj napad, zlonamjerni akteri mogu kreirati udaljenu nit koja poziva LoadLibraryA s ovim pokazivačem, uzrokujući da Windows učita zlonamjerni DLL bez pisanja u memoriju ciljnog procesa.

Ovaj pristup je posebno efikasan, jer omogućava zlonamjernim akterima da izbjegnu ostavljanje bilo kakvih uočljivih tragova ili obrazaca aktivnosti koje bi tradicionalne sigurnosne kontrole mogle otkriti.

 

Manipulisanje kontekstom procesa

Druga metoda, poznata kao CreateRemoteThread + SetThreadContext, uključuje kreiranje suspendovane niti i manipulisanje njenim kontekstom registra za pozivanje proizvoljnih funkcija s do četiri kontrolna parametra. Ova tehnika omogućava zlonamjernim akterima da izvršavaju operacije poput VirtualAlloc i WriteProcessMemory bez njihovog direktnog pozivanja izvan procesa.

Korištenjem ovog pristupa, zlonamjerni akteri mogu kreirati udaljeni proces koji je inicijalno u suspendovanom stanju, što im omogućava manipulisanje kontekstom registra procesa prije nego što nastavi s izvršavanjem. Pažljivim kreiranjem vrijednosti ovih registara, zlonamjerni akteri mogu kontrolisati parametre koji se prosljeđuju proizvoljnim funkcijama unutar ciljnog procesa, efektivno zaobilazeći tradicionalne sigurnosne kontrole koje se oslanjaju na obrasce alokacije i dealokacije memorije.

Jedna ključna prednost ovog pristupa je njegova sposobnost izvršavanja kôda na način koji na prvi pogled izgleda legitimno ili čak benigno. Budući da CreateRemoteThread + SetThreadContext omogućava zlonamjernim akterima manipulisanje kontekstom niti bez direktnog pozivanja zlonamjernih funkcija izvan procesa, tradicionalnim sigurnosnim kontrolama može biti teško otkriti ove napade dok se događaju.

 

NtCreateThread ubrizgavanje konteksta

Treća metoda, poznata kao NtCreateThread ubrizgavanje konteksta, uključuje inicijalizaciju strukture CONTEXT s pažljivo kreiranim vrijednostima registra i njihovo direktno dostavljanje NtCreateThread procesu. Korištenjem ovog pristupa, zlonamjerni akteri mogu izvršiti kôd unutar ciljnog procesa bez pozivanja SetThreadContext.

Ova tehnika je posebno efikasna, jer omogućava zlonamjernim akterima da zaobiđu tradicionalne sigurnosne kontrole koje se oslanjaju na obrasce alokacije i dealokacije memorije kreiranjem konteksta udaljenog procesa s pažljivo izrađenim vrijednostima registara. Inicijalizacijom ovih registara na način da direktno ukazuju na proizvoljne funkcije, zlonamjerni akteri mogu izvršavati kôd unutar ciljnog procesa bez ostavljanja ikakvih vidljivih tragova ili obrazaca aktivnosti.

Jedna ključna prednost ovog pristupa je njegova sposobnost dodatnog smanjenja vidljivosti napada u poređenju s drugim metodama poput CreateRemoteThread + SetThreadContext. Budući da NtCreateThread ubrizgavanje konteksta omogućava zlonamjernim akterima da kreiraju kontekst udaljenog procesa s pažljivo izrađenim vrijednostima registara, tradicionalnim sigurnosnim kontrolama može biti teško da otkriju ove napade dok se događaju.

 

UTICAJ

Pojava naprednih tehnika ubrizgavanja procesa predstavlja značajnu zabrinutost za stručnjake za sajber bezbjednost, jer predstavlja značajnu prijetnju bezbjednosti i integritetu računarskih sistema. Zbog toga površina napada zasnovana isključivo na kontekstu privlači pažnju, kao i zbog svoje sposobnosti da zaobiđe vodeće softvere za detekciju i odgovor na prijetnje (EDR). Ovaj novi pristup fokusira se isključivo na primitivne elemente izvršenja, eliminirajući potrebu za dodjeljivanjem memorije ili operacijama pisanja koje obično pokreću sigurnosna upozorenja.

Uticaj ove površine napada je dalekosežan i ima značajne posljedice za organizacije koje se u velikoj mjeri oslanjaju na softvere za detekciju i odgovor na prijetnje (EDR) za svoje potrebe sajber bezbjednosti. Tradicionalne tehnike ubrizgavanja procesa uključuju predvidljiv obrazac: dodjeljivanje memorije u ciljnom procesu, pisanje zlonamjernog kôda u tu memoriju i njegovo izvršavanje. Međutim, sa površinom napada zasnovanoj isključivo na kontekstu, zlonamjerni akteri sada mogu izvršavati zlonamjerni kôd koristeći samo primitivne elemente za kreiranje procesa. Ovaj pristup se pokazao izazovnim za otkrivanje sigurnosnim proizvodima, jer su dizajnirani da identifikuju tri različite faze tradicionalnih tehnika ubrizgavanja procesa.

Sposobnost ove površine napada da izbjegne otkrivanje od strane softvera za detekciju i odgovor na prijetnje (EDR) je posebno zabrinjavajuća, s obzirom na to da su ova rješenja široko usvojena od strane organizacija širom svijeta. Sigurnosni istraživači koji su otkrili ovu tehniku doveli su u pitanje da li se zlonamjerni kôd može izvršiti u ciljnom procesu pokretanjem samo koraka izvršavanja, preskačući i alokaciju i pisanje. Njihovi nalazi pokazuju da moderni sigurnosni proizvodi ostaju “slijepi” na napade koji koriste postojeće podatke u memoriji, umjesto da uvode novi zlonamjerni kôd. Ovo ima značajan uticaj za strategije sajber bezbjednosti, jer organizacije možda moraju preispitati svoje oslanjanje na softvere za detekciju i odgovor na prijetnje (EDR).

Površina napada zasnovana isključivo na kontekstu također ističe ograničenja tradicionalnih tehnika ubrizgavanja procesa i važnost razmatranja alternativnih pristupa. Fokusirajući se isključivo na primitivne elemente izvršenja, zlonamjerni akteri mogu zaobići sigurnosne mjere koje su dizajnirane za otkrivanje alokacije memorije ili operacija pisanja.

Utjecaj ove površine napada nije ograničen na pojedinačne sisteme, već se proteže i na širi ekosistem povezanih uređaja i mreža. Kako se sve više uređaja međusobno povezuje, potencijalne posljedice uspješnog iskorištavanja površine napada zasnovana isključivo na kontekstu mogu biti dalekosežne. Sposobnost zlonamjernog aktera da izvršavaju zlonamjerni kôd, a da ih softveri za detekciju i odgovor na prijetnje (EDR) ne otkriju, predstavlja značajan rizik za organizacije koje se u velikoj mjeri oslanjaju na ove sigurnosne mjere.

 

ZAKLJUČAK

Analiza površine napada zasnovane isključivo na kontekstu otkriva sofisticiranu tehniku ubrizgavanja procesa koja efikasno zaobilazi vodeće softvere za detekciju i odgovor na prijetnje (EDR). Iskorištavanjem karakteristika dijeljene memorije Windows sistema, zlonamjerni akteri mogu izvršavati zlonamjerni kôd koristeći samo primitivne elemente za kreiranje procesa, čime se eliminira potreba za dodjeljivanjem memorije ili operacijama pisanja. Ovaj novi pristup ima značajne implikacije za stručnjake za sajber sigurnost, jer dovodi u pitanje tradicionalne metode detekcije i naglašava važnost ponovnog razmatranja sigurnosnih protokola.

Ovo otkriće ukazuje na to da moderni softveri za detekciju i odgovor na prijetnje (EDR) nisu opremljena za otkrivanje napada koji se oslanjaju isključivo na izvršenja primitivnih elemenata, ostavljajući sisteme ranjivim na eksploataciju. Nadalje, istraživanje pokazuje kako zlonamjerni akteri mogu iskoristiti postojeće podatke u memoriji umjesto uvođenja novog zlonamjernog kôda, što braniteljima čini još izazovnijim identifikaciju i ublažavanje prijetnji. Kao rezultat toga, stručnjaci za sajber sigurnost moraju preispitati svoje strategije detekcije i razmotriti implementaciju dodatnih mjera kako bi ostali ispred novih vektora napada.

Analiza također otkriva da upotreba površine napada zasnovane isključivo na kontekstu nije ograničena na specifične scenarije ili okruženja, već se može primijeniti u različitim kontekstima, što je čini atraktivnom opcijom za zlonamjerne aktere koji žele izbjeći softvere za detekciju i odgovor na prijetnje (EDR). Ovo ima značajne implikacije za organizacije koje se oslanjaju na tradicionalne sigurnosne protokole i naglašava potrebu za naprednijim metodama detekcije.

Analiza površine napada zasnovane isključivo na kontekstu pruža vrijedne uvide u nove vektore napada i naglašava važnost ponovnog razmatranja strategija sajber bezbjednosti kao odgovor na promjenjive prijetnje.

 

ZAŠTITA

Da bi se efikasno suprotstavilo novoj tehnici ubrizgavanja procesa poznatoj kao površina napada zasnovana isključivo na kontekstu, potreban je višestruki pristup. Sljedeće preporuke su osmišljene kako bi pružile sveobuhvatnu zaštitu od ove nove prijetnje:

  1. Da bi se spriječili zlonamjerni akteri da iskoriste karakteristike dijeljene memorije, implementirati robusne mehanizme zaštite memorije kao što su sprečavanje izvršavanja podataka (eng. data execution prevention – DEP) i randomizacija rasporeda adresnog prostora (eng. address space layout randomization – ASLR). Ove funkcije mogu pomoći u ublažavanju utjecaja izvršavanja zlonamjernog kôda tako što će zlonamjernim akterima otežati dodjeljivanje i pisanje na određene lokacije u memoriji;
  2. Implementacija praćenja aktivnosti kreiranja procesa u realnom vremenu ključna je za otkrivanje potencijalnih prijetnji povezanih s tehnikom površina napada zasnovana isključivo na kontekstu. Praćenjem i analizom događaja kreiranja procesa, sigurnosni timovi mogu identificirati sumnjivo ponašanje i poduzeti brze mjere kako bi spriječili eskalaciju napada;
  3. Da bi se dodatno ojačala odabrana od napada ubrizgavanjem procesa, implementirati tehnike izolacije procesa kao što su izolovana okruženja (eng. sandboxing) ili virtuelizacija. Ovo će pomoći u izolaciji ranjivih procesa i ograničavanju potencijalnog utjecaja uspješnog napada;
  4. Razvijati plan odgovora na sajber prijetnju posebno prilagođen za rješavanje napada povezanih s tehnikom površina napada zasnovana isključivo na kontekstu. Posjedovanjem dobro definiranog plana, organizacije mogu brzo i efikasno reagovati kada se dogodi napad;
  5. Potrebno je biti informisan o novim sigurnosnim prijetnjama putem redovnih praćenja istraživanja iz uglednih izvora. Ovo će omogućiti organizacijama da budu ispred potencijalnih napada tako što će biti svjesne najnovijih tehnika koje koriste zlonamjerni akteri, uključujući one koje se odnose na ubrizgavanje procesa;
  6. Koristiti sigurnosne alate i rješenja posebno dizajnirana za otkrivanje prijetnji usmjerenih na karakteristike dijeljene memorije poput onih koje se koriste u tehnici površina napada zasnovana isključivo na kontekstu. Ovo će omogućiti organizacijama da budu ispred novih prijetnji tako što će imati pristup mogućnostima otkrivanja konteksta koje mogu identificirati sumnjivo ponašanje povezano s napadima ubrizgavanjem procesa.

Primjenom ovih preporuka, organizacije mogu značajno poboljšati svoju odbranu od novih prijetnji povezanih s tehnikom površina napada zasnovana isključivo na kontekstu.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.