Hvad er procesinjektion, og hvordan kan du forhindre det?

Hvad er procesinjektion, og hvordan kan du forhindre det?
Læsere som dig hjælper med at støtte MUO. Når du foretager et køb ved hjælp af links på vores websted, kan vi optjene en affiliate-kommission. Læs mere.

At indse, at en angrebsvektor har kørt i dit netværk lige under din næse, kan være chokerende. Du spillede din rolle ved at implementere, hvad der virkede som effektive sikkerhedsforsvar, men angriberen formåede alligevel at omgå dem. Hvordan var det muligt?





De kunne have implementeret procesinjektion ved at indsætte ondsindede koder i dine legitime processer. Hvordan fungerer procesinjektion, og hvordan kan du forhindre det?



MAKEUSE AF DAGENS VIDEO

Hvad er procesinjektion?

Procesinjektion er en proces, hvorved en angriber injicerer ondsindede koder i en legitim og levende proces i et netværk. Udbredt med malware-angreb , giver det cyberaktører mulighed for at inficere systemer på de mest beskedne måder. En avanceret cyberangrebsteknik indsætter malware i dine gyldige processer og nyder privilegierne ved disse processer.





Hvordan virker procesinjektion?

Laptop på et skrivebord

De mest effektive former for angreb er dem, der kan køre i baggrunden uden at vække mistanke. Normalt kan du opdage en malwaretrussel ved at skitsere og undersøge alle processer i dit netværk. Men at opdage procesinjektion er ikke så let, fordi koderne gemmer sig under skyggerne af dine legitime processer.

Da du har hvidlistet dine autoriserede processer, vil dine detektionssystemer certificere dem til at være gyldige uden indikation af, at noget er galt. Injicerede processer omgår også diskefterforskning, fordi de ondsindede koder kører i hukommelsen om den lovlige proces.



hvorfor er file explorer så langsom

Angriberen bruger kodernes usynlighed til at få adgang til alle aspekter af dit netværk, som de legitime processer, de gemmer sig under, kan få adgang til. Dette inkluderer visse administrative privilegier, som du ikke ville give nogen som helst.

Selvom procesinjektion let kan gå ubemærket hen, kan avancerede sikkerhedssystemer registrere dem. Så cyberkriminelle hæver barren ved at udføre det på de mest beskedne måder, som sådanne systemer vil overse. De bruger grundlæggende Windows-processer som cmd.exe, msbuild.exe, explorer.exe osv. til at starte sådanne angreb.



3 Procesinjektionsteknikker

Der er forskellige procesinjektionsteknikker til forskellige formål. Da cybertrusselsaktører er meget vidende om forskellige systemer og deres sikkerhedsstatus, anvender de den bedst egnede teknik til at øge deres succesrate. Lad os se på nogle af dem.

1. DLL-injektion

DLL (Dynamic Link Library)-injektion er en procesinjektionsteknik, hvor hackeren bruger et dynamisk linkbibliotek til at påvirke en eksekverbar proces, hvilket tvinger den til at opføre sig på måder, du ikke havde til hensigt eller forventet.



Angrebet injicerer koden med den hensigt, at den tilsidesætter den originale kode i dit system og fjernstyrer den.

Kompatibel med flere programmer, DLL-injektion tillader programmerne at bruge koden flere gange uden at miste gyldigheden. For at en DLL-injektionsproces skal lykkes, skal malwaren indeholde data fra den forurenede DLL-fil i dit netværk.

2. PE-injektion

En Portable Execution (PE) er en procesinjektionsmetode, hvor en angriber inficerer en gyldig og aktiv proces i dit netværk med et skadeligt PE-billede. Det er enklere end andre procesinjektionsteknikker, da det ikke kræver skalkodningsfærdigheder. Angribere kan nemt skrive PE-koden i grundlæggende C++.

hvordan man opretter en wii

PE-injektion er diskfri. Malwaren behøver ikke at kopiere sine data til nogen disk, før injektionen begynder.

3. Procesudhulning

Process Hollowing er en procesindsprøjtningsteknik, hvor angriberen i stedet for at gøre brug af en eksisterende legitim proces opretter en ny proces, men inficerer den med ondsindet kode. Angriberen udvikler den nye proces som en svchost.exe-fil eller notesblok. På den måde vil du ikke finde det mistænkeligt, selvom du skulle opdage det på din procesliste.

Den nye ondsindede proces begynder ikke at køre med det samme. Den cyberkriminelle gør den inaktiv, forbinder den med den legitime proces og skaber plads til den i systemets hukommelse.

Hvordan kan du forhindre procesinjektion?

HTML-data på computerskærm

Procesinjektion kan ødelægge hele dit netværk, da angriberen kan have det højeste adgangsniveau. Du gør deres arbejde meget lettere, hvis de tilførte processer er fortrolige med dine mest værdsatte aktiver. Dette er et angreb, du skal stræbe efter at forhindre, hvis du ikke er klar til at miste kontrollen over dit system.

Her er nogle af de mest effektive måder at forhindre procesinjektion på.

1. Vedtag hvidlistning

Whitelisting er processen med liste over et sæt applikationer der kan komme ind på dit netværk baseret på din sikkerhedsvurdering. Du skal have anset varerne på din hvidliste for harmløse, og medmindre indgående trafik falder inden for dækningen af ​​din hvidliste, kan de ikke passere igennem.

For at forhindre procesinjektion med hvidliste, skal du også tilføje brugerinput til din hvidliste. Der skal være et sæt input, der får lov til at passere dine sikkerhedstjek. Så hvis en angriber kommer med input uden for din jurisdiktion, vil systemet blokere dem.

2. Overvåg processer

For så vidt som en procesindsprøjtning kan omgå nogle sikkerhedstjek, kan du vende det om ved at være meget opmærksom på procesadfærden. For at gøre dette skal du først skitsere den forventede ydeevne af en specifik proces og derefter sammenligne den med dens nuværende ydeevne.

Tilstedeværelsen af ​​ondsindede koder i en proces vil forårsage nogle ændringer, uanset hvor små de måtte være for en proces. Normalt ville du overse disse ændringer, fordi de er ubetydelige. Men når du er ivrig efter at opdage forskelle mellem den forventede ydeevne og den nuværende ydeevne via procesovervågning, vil du bemærke uregelmæssigheden.

hvad betyder kommercielle og andre licenser

3. Indkode output

Cybertrussel-aktører bruger ofte Cross-Site Scripting (XSS) for at injicere farligt koder i en procesindsprøjtning. Disse koder bliver til scripts, der kører i baggrunden af ​​dit netværk uden din viden. Du kan forhindre det i at ske ved at undersøge og rense alle mistænkelige input. Til gengæld vil de blive vist som data og ikke ondsindede koder efter hensigten.

Outputkodning fungerer bedst med HTML-kodning - en teknik, der gør det muligt for dig at kode variabelt output. Du identificerer nogle specialtegn og erstatter dem med alternativer.

Forebyg procesinjektion med intelligensdrevet sikkerhed

Procesinjektion skaber et røgslør, der dækker over ondsindede koder i en gyldig og operationel proces. Det, du ser, er ikke det, du får. Angribere forstår effektiviteten af ​​denne teknik og bruger den løbende til at udnytte brugere.

For at bekæmpe procesindsprøjtninger skal du overliste angriberen ved at være knap så åbenlys med dit forsvar. Implementer sikkerhedsforanstaltninger, der vil være usynlige på overfladen. De vil tro, de spiller dig, men uden at de ved det, er du den, der spiller dem.