Läsare som du hjälper till att stödja MUO. När du gör ett köp med hjälp av länkar på vår webbplats kan vi tjäna en affiliate-provision. Läs mer.

Att inse att en attackvektor har körts i ditt nätverk precis under näsan på dig kan vara chockerande. Du spelade din roll genom att implementera vad som verkade vara effektiva säkerhetsförsvar, men angriparen lyckades kringgå dem ändå. Hur var det möjligt?

De kunde ha implementerat processinjektion genom att infoga skadliga koder i dina legitima processer. Hur fungerar processinjektion och hur kan du förhindra det?

Vad är processinjektion?

Processinjektion är en process där en angripare injicerar skadliga koder i en legitim och levande process i ett nätverk. Vanligt med malwareattacker, tillåter det cyberaktörer att infektera system på de mest anspråkslösa sätt. En avancerad cyberattacksteknik, inkräktaren infogar skadlig kod i dina giltiga processer och åtnjuter privilegierna för dessa processer.

Hur fungerar processinjektion?

De mest effektiva typerna av attacker är de som kan köras i bakgrunden utan att väcka misstankar. Normalt kan du upptäcka ett hot mot skadlig programvara genom att beskriva och undersöka alla processer i ditt nätverk. Men att upptäcka processinjektion är inte så lätt eftersom koderna gömmer sig under skuggorna av dina legitima processer.

instagram viewer

Eftersom du har vitlistat dina auktoriserade processer kommer dina detektionssystem att certifiera att de är giltiga utan att det tyder på att något är fel. Injicerade processer kringgår också disketterforskning eftersom de skadliga koderna körs i minnet av den lagliga processen.

Angriparen använder kodernas osynlighet för att komma åt alla aspekter av ditt nätverk som de legitima processer de gömmer sig under kan komma åt. Detta inkluderar vissa administrativa privilegier som du inte skulle ge nästan vem som helst.

Även om processinjektion lätt kan gå obemärkt förbi, kan avancerade säkerhetssystem upptäcka dem. Så cyberkriminella höjer ribban genom att utföra det på de mest anspråkslösa sätt som sådana system kommer att förbise. De använder grundläggande Windows-processer som cmd.exe, msbuild.exe, explorer.exe, etc. att inleda sådana attacker.

3 Processinsprutningstekniker

Det finns olika processinjektionstekniker för olika ändamål. Eftersom cyberhotsaktörer är mycket kunniga om olika system och deras säkerhetsstatus, använder de den mest lämpliga tekniken för att öka sin framgångsfrekvens. Låt oss titta på några av dem.

1. DLL-injektion

DLL (Dynamic Link Library)-injektion är en processinjektionsteknik där hackaren använder en dynamiskt länkbibliotek för att påverka en körbar process, vilket tvingar den att bete sig på ett sätt som du inte hade för avsikt eller förvänta.

Attacken injicerar koden med avsikten att den ska åsidosätta den ursprungliga koden i ditt system och fjärrstyra den.

DLL-injektion är kompatibel med flera program och låter programmen använda koden flera gånger utan att förlora giltigheten. För att en DLL-injektionsprocess ska bli framgångsrik måste skadlig programvara innehålla data från den kontaminerade DLL-filen i ditt nätverk.

2. PE Injection

En Portable Execution (PE) är en processinjektionsmetod där en angripare infekterar en giltig och aktiv process i ditt nätverk med en skadlig PE-bild. Det är enklare än andra processinjektionstekniker eftersom det inte kräver skalkodningskunskaper. Angripare kan enkelt skriva PE-koden i grundläggande C++.

PE-injektion är diskfri. Skadlig programvara behöver inte kopiera sina data till någon disk innan injektionen börjar.

3. Process urholkning

Process Hollowing är en processinjektionsteknik där angriparen, istället för att använda en befintlig legitim process, skapar en ny process men infekterar den med skadlig kod. Angriparen utvecklar den nya processen som en svchost.exe-fil eller anteckningsblock. På så sätt kommer du inte att tycka att det är misstänkt även om du skulle upptäcka det på din processlista.

Den nya skadliga processen börjar inte köras omedelbart. Den cyberkriminella gör den inaktiv, kopplar den till den legitima processen och skapar utrymme för den i systemets minne.

Hur kan du förhindra processinjektion?

Processinjektion kan förstöra hela ditt nätverk eftersom angriparen kan ha den högsta åtkomstnivån. Du gör deras arbete mycket lättare om de injicerade processerna är medvetna om dina mest värdefulla tillgångar. Detta är en attack du måste sträva efter att förhindra om du inte är redo att tappa kontrollen över ditt system.

Här är några av de mest effektiva sätten att förhindra processinjektion.

1. Anta vitlistning

Vitlistning är processen för listar en uppsättning applikationer som kan komma in i ditt nätverk baserat på din säkerhetsbedömning. Du måste ha ansett att föremålen på din vitlista är ofarliga, och om inte inkommande trafik faller inom täckningen av din vitlista kan de inte passera.

För att förhindra processinjektion med vitlista måste du också lägga till användarinput till din vitlista. Det måste finnas en uppsättning indata som tillåts passera dina säkerhetskontroller. Så om en angripare gör någon input utanför din jurisdiktion kommer systemet att blockera dem.

2. Övervaka processer

Eftersom en processinjektion kan kringgå vissa säkerhetskontroller, kan du vända på det genom att vara noggrann uppmärksam på processens beteende. För att göra detta måste du först beskriva den förväntade prestandan för en specifik process och sedan jämföra den med dess nuvarande prestanda.

Förekomsten av skadliga koder i en process kommer att orsaka vissa förändringar, oavsett hur små de kan vara i en process. Normalt sett skulle du förbise dessa förändringar eftersom de är obetydliga. Men när du är sugen på att upptäcka skillnader mellan förväntad prestanda och nuvarande prestanda via processövervakning, kommer du att märka avvikelsen.

3. Koda utgång

Cyberhot aktörer använder ofta Cross-Site Scripting (XSS) för att injicera farligt koder i en processinjektion. Dessa koder förvandlas till skript som körs i bakgrunden av ditt nätverk utan din vetskap. Du kan förhindra att det händer genom att kontrollera och rensa alla misstänkta ingångar. I sin tur kommer de att visas som data och inte skadliga koder som avsett.

Utdatakodning fungerar bäst med HTML-kodning – en teknik som gör att du kan koda variabel utdata. Du identifierar några specialtecken och ersätter dem med alternativ.

Förhindra processinjektion med intelligensdriven säkerhet

Processinjektion skapar en rökridå som täcker över skadliga koder inom en giltig och operativ process. Det du ser är inte vad du får. Angripare förstår effektiviteten av denna teknik och använder den kontinuerligt för att utnyttja användare.

För att bekämpa processinjektioner måste du överlista angriparen genom att inte vara så uppenbar med ditt försvar. Genomför säkerhetsåtgärder som kommer att vara osynliga på ytan. De kommer att tro att de spelar mot dig, men utan att de vet det är du den som spelar dem.