קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף. קרא עוד.

להבין שוקטור התקפה רץ ברשת שלך ממש מתחת לאף יכול להיות מזעזע. מילאתם את חלקכם על ידי יישום מה שנראה כמו הגנות אבטחה יעילות, אבל התוקף הצליח לעקוף אותם בכל זאת. איך זה היה אפשרי?

הם יכלו לפרוס הזרקת תהליכים על ידי הכנסת קודים זדוניים לתהליכים הלגיטימיים שלך. כיצד פועלת הזרקת תהליך וכיצד ניתן למנוע זאת?

מהי הזרקת תהליך?

הזרקת תהליך היא תהליך שבו תוקף מחדיר קודים זדוניים לתהליך לגיטימי וחי ברשת. נפוץ עם התקפות תוכנות זדוניות, היא מאפשרת לשחקני סייבר להדביק מערכות בדרכים הכי צנועות. טכניקת מתקפת סייבר מתקדמת, הפורץ מכניס תוכנות זדוניות לתהליכים התקינים שלך ונהנה מההרשאות של תהליכים אלה.

כיצד פועלת הזרקת תהליך?

סוגי ההתקפות היעילים ביותר הם אלו שיכולים לרוץ ברקע מבלי לעורר חשד. בדרך כלל, אתה יכול לזהות איום תוכנה זדונית על ידי תיאור ובחינה של כל התהליכים ברשת שלך. אבל זיהוי הזרקת תהליך אינו כל כך קל מכיוון שהקודים מסתתרים תחת הצללים של התהליכים הלגיטימיים שלך.

מכיוון שסימנתם את התהליכים המורשים שלכם, מערכות הזיהוי שלכם יאשרו אותם כתקפים ללא אינדיקציה שמשהו לא בסדר. תהליכים שהוזרקו גם עוקפים את זיהוי הדיסק פורנזי מכיוון שהקודים הזדוניים פועלים בזיכרון התהליך החוקי.

התוקף משתמש בחוסר הנראות של הקודים כדי לגשת לכל ההיבטים של הרשת שלך שהתהליכים הלגיטימיים שהם מתחבאים תחתיהם יכולים לגשת אליהם. זה כולל הרשאות ניהול מסוימות שלא היית מעניק כמעט לאף אחד.

למרות שהזרקת תהליכים יכולה בקלות לעבור מעיניהם, מערכות אבטחה מתקדמות יכולות לזהות אותם. אז, פושעי סייבר מעלים את הרף על ידי ביצועו בדרכים הכי צנועות שמערכות כאלה יתעלמו מהן. הם משתמשים בתהליכי Windows בסיסיים כמו cmd.exe, msbuild.exe, explorer.exe וכו'. לפתוח בהתקפות כאלה.

3 טכניקות הזרקת תהליך

ישנן טכניקות שונות להזרקת תהליך למטרות שונות. מכיוון ששחקני איומי סייבר בקיאים מאוד במערכות שונות ובמעמד האבטחה שלהם, הם נוקטים את הטכניקה המתאימה ביותר כדי להגדיל את שיעור ההצלחה שלהם. בואו נסתכל על כמה מהם.

1. הזרקת DLL

הזרקת DLL (ספריית קישורים דינמית) היא טכניקת הזרקת תהליך שבה ההאקר משתמש ב- ספריית קישורים דינמיים להשפיע על תהליך בר הפעלה, ומאלצת אותו להתנהג בדרכים שלא התכוונת או לְצַפּוֹת.

ההתקפה מזריקה את הקוד במטרה שהוא יעקוף את הקוד המקורי במערכת שלך וישלוט בו מרחוק.

תואם למספר תוכניות, הזרקת DLL מאפשרת לתוכניות להשתמש בקוד מספר פעמים מבלי לאבד את התוקף. כדי שתהליך הזרקת DLL יצליח, התוכנה הזדונית חייבת להכיל נתונים של קובץ ה-DLL המזוהם ברשת שלך.

2. הזרקת PE

ביצוע נייד (PE) היא שיטת הזרקת תהליך שבה תוקף מדביק תהליך חוקי ופעיל ברשת שלך בתמונת PE מזיקה. זה פשוט יותר מטכניקות אחרות להזרקת תהליכים מכיוון שהוא לא דורש מיומנויות קידוד קליפות. תוקפים יכולים לכתוב בקלות את קוד PE ב-C++ בסיסי.

הזרקת PE היא ללא דיסק. התוכנה הזדונית אינה צריכה להעתיק את הנתונים שלה לשום דיסק לפני תחילת ההזרקה.

3. תהליך חלול

החללת תהליכים היא טכניקת הזרקת תהליך שבה, במקום לעשות שימוש בתהליך לגיטימי קיים, התוקף יוצר תהליך חדש אך מדביק אותו בקוד זדוני. התוקף מפתח את התהליך החדש כקובץ svchost.exe או פנקס רשימות. כך, לא תמצא את זה חשוד גם אם היית מגלה את זה ברשימת התהליך שלך.

התהליך הזדוני החדש לא מתחיל לפעול מיד. פושע הסייבר הופך אותו לבלתי פעיל, מחבר אותו לתהליך הלגיטימי ויוצר עבורו מקום בזיכרון המערכת.

כיצד ניתן למנוע הזרקת תהליך?

הזרקת תהליכים יכולה להרוס את כל הרשת שלך מכיוון שלתוקף יכולה להיות רמת הגישה הגבוהה ביותר. אתה מקל בהרבה על עבודתם אם התהליכים המוזרמים מוגנים בנכסים המוערכים ביותר שלך. זוהי מתקפה אחת שאתה חייב לשאוף למנוע אם אתה לא מוכן לאבד שליטה על המערכת שלך.

להלן כמה מהדרכים היעילות ביותר למנוע הזרקת תהליך.

1. אמצו רשימת היתרים

רישום הלבן הוא התהליך של רשימה של קבוצה של יישומים שיכול להיכנס לרשת שלך בהתבסס על הערכת האבטחה שלך. בטח ראית את הפריטים ברשימת ההיתרים שלך כבלתי מזיקים, אלא אם תנועה נכנסת נופלת בכיסוי של רשימת ההיתרים שלך, הם לא יכולים לעבור.

כדי למנוע הזרקת תהליך עם רשימת היתרים, עליך להוסיף גם קלט משתמש לרשימת ההיתרים שלך. חייבת להיות קבוצה של קלט שמותר לעבור את בדיקות האבטחה שלך. לכן, אם תוקף מבצע קלט מחוץ לתחום השיפוט שלך, המערכת תחסום אותם.

2. ניטור תהליכים

ככל שהזרקת תהליך יכולה לעקוף כמה בדיקות אבטחה, אתה יכול להפוך אותה על ידי תשומת לב רבה להתנהגות התהליך. לשם כך, תחילה עליך לשרטט את הביצועים הצפויים של תהליך ספציפי ולאחר מכן להשוות אותו לביצועים הנוכחיים שלו.

נוכחותם של קודים זדוניים בתהליך תגרום לכמה שינויים, לא משנה כמה מעט הם עשויים להיות בתהליך. בדרך כלל, אתה מתעלם מהשינויים האלה כי הם חסרי משמעות. אבל כאשר אתה מעוניין לגלות הבדלים בין הביצועים הצפויים לביצועים הנוכחיים באמצעות ניטור תהליכים, אתה תבחין באנומליה.

3. קידוד פלט

לעתים קרובות משתמשים באיומי סייבר Cross-Site Scripting (XSS) להזרקת מסוכן קודים בהזרקת תהליך. קודים אלו הופכים לסקריפטים הפועלים ברקע הרשת שלך ללא ידיעתך. אתה יכול למנוע את זה על ידי בדיקה וניקוי של כל התשומות החשודות. בתורם, הם יוצגו כנתונים ולא כקודים זדוניים כמתוכנן.

קידוד פלט עובד בצורה הטובה ביותר עם קידוד HTML - טכניקה המאפשרת לך לקודד פלט משתנה. אתה מזהה כמה דמויות מיוחדות ומחליף אותן בחלופות.

מניעת הזרקת תהליך באמצעות אבטחה מונעת מודיעין

הזרקת תהליך יוצרת מסך עשן המכסה על קודים זדוניים בתהליך תקף ומבצעי. מה שאתה רואה זה לא מה שאתה מקבל. תוקפים מבינים את היעילות של טכניקה זו ומשתמשים בה ללא הרף כדי לנצל משתמשים.

כדי להילחם בזריקות תהליכיות, אתה צריך להערים על התוקף בכך שהוא לא כל כך ברור עם ההגנות שלך. בצע אמצעי אבטחה שיהיו בלתי נראים על פני השטח. הם יחשבו שהם משחקים בך, אבל בלי שהם ידעו, אתה זה שמשחק אותם.