Ağınızda burnunuzun dibinde çalışan bir saldırı vektörünün farkına varmak şok edici olabilir. Etkili güvenlik savunmaları gibi görünen şeyleri uygulayarak üzerinize düşeni yaptınız, ancak saldırgan yine de bunları atlatmayı başardı. Bu nasıl mümkün oldu?
Meşru işlemlerinize kötü amaçlı kodlar ekleyerek işlem enjeksiyonunu devreye almış olabilirler. Proses enjeksiyonu nasıl çalışır ve bunu nasıl önleyebilirsiniz?
Proses Enjeksiyonu Nedir?
İşlem enjeksiyonu, bir saldırganın kötü amaçlı kodları bir ağdaki meşru ve canlı bir işleme enjekte ettiği bir işlemdir. Kötü amaçlı yazılım saldırılarıyla yaygın, siber aktörlerin sistemlere en alçakgönüllü yollarla bulaşmasını sağlar. Gelişmiş bir siber saldırı tekniği olan davetsiz misafir, geçerli işlemlerinize kötü amaçlı yazılım ekler ve bu işlemlerin ayrıcalıklarından yararlanır.
Proses Enjeksiyonu Nasıl Çalışır?
En etkili saldırı türleri, şüphe uyandırmadan arka planda çalışabilen saldırılardır. Normalde, ağınızdaki tüm süreçleri ana hatlarıyla belirleyip inceleyerek bir kötü amaçlı yazılım tehdidini tespit edebilirsiniz. Ancak kodlar meşru süreçlerinizin gölgesi altında saklandığından, süreç enjeksiyonunu tespit etmek o kadar kolay değildir.
Yetkili işlemlerinizi beyaz listeye eklediğiniz için, algılama sistemleriniz bir şeylerin ters gittiğine dair hiçbir belirti olmaksızın bunların geçerli olduğunu onaylayacaktır. Eklenen işlemler ayrıca, kötü niyetli kodlar lisanslı işlemin belleğinde çalıştığı için disk adli tıpını da atlar.
Saldırgan, ağınızın altında saklandıkları yasal süreçlerin erişebileceği tüm yönlerine erişmek için kodların görünmezliğini kullanır. Bu, hemen hemen hiç kimseye vermeyeceğiniz belirli yönetici ayrıcalıklarını içerir.
İşlem enjeksiyonu kolayca gözden kaçabilse de, gelişmiş güvenlik sistemleri bunları algılayabilir. Bu nedenle, siber suçlular, bu tür sistemlerin gözden kaçıracağı en mütevazi şekillerde uygulayarak çıtayı yükseltiyor. Cmd.exe, msbuild.exe, explorer.exe gibi temel Windows işlemlerini kullanırlar. Bu tür saldırıları başlatmak için.
3 Proses Enjeksiyon Tekniği
Farklı amaçlar için farklı proses enjeksiyon teknikleri vardır. Siber tehdit aktörleri, çeşitli sistemler ve güvenlik durumları hakkında çok bilgili olduklarından, başarı oranlarını artırmak için en uygun tekniği kullanırlar. Bazılarına bakalım.
1. DLL Enjeksiyonu
DLL (Dinamik Bağlantı Kitaplığı) enjeksiyonu, bilgisayar korsanının kullandığı bir süreç enjeksiyon tekniğidir. Yürütülebilir bir işlemi etkilemek için dinamik bağlantı kitaplığı, onu sizin istemediğiniz şekillerde davranmaya zorlar veya beklemek.
Saldırı, sisteminizdeki orijinal kodu geçersiz kılmak ve uzaktan kontrol etmek amacıyla kodu enjekte eder.
Birkaç programla uyumlu olan DLL enjeksiyonu, programların kodu geçerliliğini kaybetmeden birden çok kez kullanmasına olanak tanır. Bir DLL yerleştirme işleminin başarılı olması için, kötü amaçlı yazılımın ağınızdaki kirlenmiş DLL dosyasının verilerini içermesi gerekir.
2. PE Enjeksiyon
Taşınabilir Yürütme (PE), bir saldırganın ağınızdaki geçerli ve etkin bir işleme zararlı bir PE görüntüsü bulaştırdığı bir işlem enjeksiyon yöntemidir. Kabuk kodlama becerisi gerektirmediği için diğer süreç enjeksiyon tekniklerinden daha basittir. Saldırganlar PE kodunu temel C++ ile kolayca yazabilir.
PE enjeksiyon disksizdir. Kötü amaçlı yazılımın, enjeksiyon başlamadan önce verilerini herhangi bir diske kopyalaması gerekmez.
3. İşlem Boşaltma
Process Hollowing, saldırganın mevcut meşru bir süreçten yararlanmak yerine yeni bir süreç oluşturduğu ancak buna kötü amaçlı kod bulaştırdığı bir süreç enjeksiyon tekniğidir. Saldırgan, yeni işlemi bir svchost.exe dosyası veya not defteri olarak geliştirir. Bu şekilde, işlem listenizde keşfetseniz bile şüpheli bulmazsınız.
Yeni kötü niyetli süreç hemen çalışmaya başlamaz. Siber suçlu onu etkisiz hale getirir, meşru sürece bağlar ve sistemin belleğinde ona yer açar.
Proses Enjeksiyonunu Nasıl Önleyebilirsiniz?
Saldırgan en yüksek erişim düzeyine sahip olabileceğinden, işlem enjeksiyonu tüm ağınızı mahvedebilir. Enjekte edilen süreçler en değerli varlıklarınıza özelse, onların işini çok daha kolaylaştırırsınız. Bu, sisteminizin kontrolünü kaybetmeye hazır değilseniz önlemeye çalışmanız gereken bir saldırıdır.
İşte proses enjeksiyonunu önlemenin en etkili yollarından bazıları.
1. Beyaz Listeyi Benimseyin
Beyaz listeye alma süreci bir dizi uygulamayı listeleme güvenlik değerlendirmenize bağlı olarak ağınıza girebilecek. Beyaz listenizdeki öğeleri zararsız kabul etmiş olmalısınız ve gelen trafik, beyaz listenizin kapsamına girmedikçe geçemez.
Beyaz liste ile işlem enjeksiyonunu önlemek için, beyaz listenize kullanıcı girişi de eklemelisiniz. Güvenlik kontrollerinizden geçmesine izin verilen bir dizi giriş olmalıdır. Bu nedenle, bir saldırgan yetki alanınızın dışında herhangi bir giriş yaparsa, sistem onları engeller.
2. Süreçleri İzleme
Bir süreç enjeksiyonu bazı güvenlik kontrollerini atlayabildiği kadar, süreç davranışına çok dikkat ederek bunu tersine çevirebilirsiniz. Bunu yapmak için, önce belirli bir sürecin beklenen performansını özetlemeli ve ardından mevcut performansıyla karşılaştırmalısınız.
Bir süreçte kötü amaçlı kodların bulunması, bir süreçte ne kadar küçük olursa olsun bazı değişikliklere neden olacaktır. Normalde, önemsiz oldukları için bu değişiklikleri gözden kaçırırsınız. Ancak, süreç izleme yoluyla beklenen performans ile mevcut performans arasındaki farkları keşfetmeye hevesli olduğunuzda, anormalliği fark edeceksiniz.
3. Çıktıyı Kodla
Siber tehdit aktörlerinin sıklıkla kullandığı Tehlikeli enjekte etmek için Siteler Arası Komut Dosyası Çalıştırma (XSS) bir süreç enjeksiyonunda kodlar. Bu kodlar, bilginiz dışında ağınızın arka planında çalışan komut dosyalarına dönüşür. Tüm şüpheli girdileri inceleyerek ve temizleyerek bunun olmasını önleyebilirsiniz. Buna karşılık, amaçlandığı gibi kötü amaçlı kodlar olarak değil, veri olarak görüntülenecekler.
Çıktı kodlaması, değişken çıktıyı kodlamanızı sağlayan bir teknik olan HTML kodlamasıyla en iyi şekilde çalışır. Bazı özel karakterleri belirliyorsunuz ve bunları alternatifleriyle değiştiriyorsunuz.
İstihbarata Dayalı Güvenlikle Süreç Enjeksiyonunu Önleyin
Süreç enjeksiyonu, geçerli ve operasyonel bir süreçte kötü niyetli kodları örten bir sis perdesi oluşturur. Gördüğün şey, aldığın şey değil. Saldırganlar bu tekniğin etkinliğini anlarlar ve sürekli olarak kullanıcıları istismar etmek için kullanırlar.
Proses enjeksiyonlarıyla mücadele etmek için, savunmalarınız konusunda pek açık olmayarak saldırganı zekice alt etmeniz gerekir. Yüzeyde görünmeyecek güvenlik önlemlerini uygulayın. Seninle oynadıklarını düşünecekler ama onlar bilmeden onları oynayan sensin.
