Rendersi conto che un vettore di attacco è stato eseguito nella tua rete proprio sotto il tuo naso può essere scioccante. Hai fatto la tua parte implementando quelle che sembravano efficaci difese di sicurezza, ma l'aggressore è riuscito comunque a aggirarle. Come è stato possibile?
Potrebbero aver implementato l'iniezione di processo inserendo codici dannosi nei tuoi processi legittimi. Come funziona l'iniezione di processo e come puoi prevenirla?
Cos'è l'iniezione di processo?
L'iniezione di processo è un processo mediante il quale un utente malintenzionato inserisce codici dannosi in un processo legittimo e attivo in una rete. Prevalente con attacchi di malware, consente agli attori informatici di infettare i sistemi nei modi più modesti. Una tecnica avanzata di attacco informatico, l'intruso inserisce malware nei tuoi processi validi e gode dei privilegi di tali processi.
Come funziona l'iniezione di processo?
I tipi di attacco più efficaci sono quelli che possono essere eseguiti in background senza destare sospetti. Normalmente, potresti rilevare una minaccia malware delineando ed esaminando tutti i processi nella tua rete. Ma rilevare l'iniezione di processo non è così facile perché i codici si nascondono all'ombra dei tuoi processi legittimi.
Poiché hai inserito nella whitelist i tuoi processi autorizzati, i tuoi sistemi di rilevamento ne certificheranno la validità senza alcuna indicazione che qualcosa non va. I processi iniettati aggirano anche l'analisi forense del disco perché i codici dannosi vengono eseguiti nella memoria del processo lecito.
L'attaccante utilizza l'invisibilità dei codici per accedere a tutti gli aspetti della tua rete a cui possono accedere i processi legittimi in cui si nascondono. Ciò include alcuni privilegi amministrativi che non concederesti a nessuno.
Sebbene l'iniezione di processi possa facilmente passare inosservata, i sistemi di sicurezza avanzati possono rilevarli. Pertanto, i criminali informatici alzano il livello eseguendolo nei modi più modesti che tali sistemi trascureranno. Usano processi Windows di base come cmd.exe, msbuild.exe, explorer.exe, ecc. per lanciare tali attacchi.
3 Tecniche di iniezione di processo
Esistono diverse tecniche di iniezione del processo per scopi diversi. Poiché gli attori delle minacce informatiche sono molto informati sui vari sistemi e sulla loro posizione di sicurezza, implementano la tecnica più adatta per aumentare il loro tasso di successo. Diamo un'occhiata ad alcuni di loro.
1. Iniezione DLL
L'iniezione di DLL (Dynamic Link Library) è una tecnica di iniezione di processo in cui l'hacker utilizza un file libreria di collegamento dinamico per influire su un processo eseguibile, costringendolo a comportarsi in modi che non intendevi o aspettarsi.
L'attacco inietta il codice con l'intento di sovrascrivere il codice originale nel sistema e controllarlo da remoto.
Compatibile con diversi programmi, l'iniezione di DLL consente ai programmi di utilizzare il codice più volte senza perdere validità. Affinché un processo di iniezione DLL abbia esito positivo, il malware deve contenere i dati del file DLL contaminato nella rete.
2. Iniezione PE
Una Portable Execution (PE) è un metodo di iniezione di processo in cui un utente malintenzionato infetta un processo valido e attivo nella rete con un'immagine PE dannosa. È più semplice di altre tecniche di iniezione del processo in quanto non richiede competenze di codifica della shell. Gli aggressori possono facilmente scrivere il codice PE in C++ di base.
L'iniezione di PE è senza disco. Il malware non ha bisogno di copiare i propri dati su alcun disco prima che inizi l'iniezione.
3. Processo di svuotamento
Process Hollowing è una tecnica di process injection in cui, invece di utilizzare un processo legittimo esistente, l'attaccante crea un nuovo processo ma lo infetta con codice dannoso. L'attaccante sviluppa il nuovo processo come file svchost.exe o blocco note. In questo modo, non lo troverai sospetto anche se lo scoprissi nell'elenco dei processi.
Il nuovo processo dannoso non si avvia immediatamente. Il criminale informatico lo rende inattivo, lo collega al processo legittimo e gli crea spazio nella memoria del sistema.
Come si può prevenire l'iniezione di processo?
L'iniezione di processi può distruggere l'intera rete poiché l'attaccante potrebbe avere il massimo livello di accesso. Rendi il loro lavoro molto più semplice se i processi iniettati sono a conoscenza delle tue risorse più preziose. Questo è un attacco che devi cercare di prevenire se non sei pronto a perdere il controllo del tuo sistema.
Ecco alcuni dei modi più efficaci per prevenire l'iniezione di processo.
1. Adotta la whitelist
Whitelisting è il processo di elenco di una serie di applicazioni che possono entrare nella tua rete in base alla tua valutazione della sicurezza. Devi aver considerato innocui gli elementi nella tua whitelist e, a meno che il traffico in entrata non rientri nella copertura della tua whitelist, non possono passare.
Per impedire l'inserimento di processi con la whitelist, devi anche aggiungere l'input dell'utente alla tua whitelist. Ci deve essere una serie di input a cui è consentito superare i controlli di sicurezza. Quindi, se un utente malintenzionato effettua qualsiasi input al di fuori della tua giurisdizione, il sistema lo bloccherà.
2. Monitorare i processi
Nella misura in cui un'iniezione di processo può aggirare alcuni controlli di sicurezza, puoi capovolgerlo prestando molta attenzione al comportamento del processo. Per fare ciò, devi prima delineare le prestazioni previste di un processo specifico e quindi confrontarle con le sue prestazioni attuali.
La presenza di codici maligni in un processo causerà alcune modifiche, non importa quanto piccole possano essere per un processo. Normalmente, trascureresti questi cambiamenti perché sono insignificanti. Ma quando desideri scoprire le differenze tra le prestazioni previste e le prestazioni attuali tramite il monitoraggio dei processi, noterai l'anomalia.
3. Codifica output
Gli attori delle minacce informatiche usano spesso Cross-Site Scripting (XSS) per iniettare pericoloso codici in un'iniezione di processo. Questi codici si trasformano in script che vengono eseguiti in background nella tua rete a tua insaputa. Puoi evitare che ciò accada controllando e pulendo tutti gli input sospetti. A loro volta, verranno visualizzati come dati e non codici dannosi come previsto.
La codifica dell'output funziona al meglio con la codifica HTML, una tecnica che consente di codificare l'output variabile. Identifichi alcuni caratteri speciali e li sostituisci con alternative.
Impedisci l'iniezione di processi con la sicurezza basata sull'intelligence
L'iniezione di processo crea una cortina fumogena che copre i codici dannosi all'interno di un processo valido e operativo. Quello che vedi non è quello che ottieni. Gli aggressori comprendono l'efficacia di questa tecnica e la utilizzano continuamente per sfruttare gli utenti.
Per combattere le iniezioni di processo, devi superare in astuzia l'attaccante non essendo così ovvio con le tue difese. Implementa misure di sicurezza che saranno invisibili in superficie. Penseranno che ti stiano prendendo in giro, ma senza che loro lo sappiano, sei tu a prenderli in giro.
