{"id":826472,"date":"2023-06-27T17:04:11","date_gmt":"2023-06-27T17:04:11","guid":{"rendered":"https:\/\/teknomers.com\/es\/nueva-tecnica-de-inyeccion-de-proceso-de-mockingjay-podria-permitir-que-el-malware-evada-la-deteccion\/"},"modified":"2023-06-27T17:04:15","modified_gmt":"2023-06-27T17:04:15","slug":"nueva-tecnica-de-inyeccion-de-proceso-de-mockingjay-podria-permitir-que-el-malware-evada-la-deteccion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nueva-tecnica-de-inyeccion-de-proceso-de-mockingjay-podria-permitir-que-el-malware-evada-la-deteccion\/","title":{"rendered":"Nueva t\u00e9cnica de inyecci\u00f3n de proceso de Mockingjay podr\u00eda permitir que el malware evada la detecci\u00f3n"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 de junio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Malware \/ Ciberamenaza<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Los actores de amenazas podr\u00edan explotar una nueva t\u00e9cnica de inyecci\u00f3n de procesos denominada Sinsajo para eludir las soluciones de seguridad y ejecutar c\u00f3digo malicioso en sistemas comprometidos.<\/p>\n<p>&#8220;La inyecci\u00f3n se ejecuta sin asignaci\u00f3n de espacio, configuraci\u00f3n de permisos o incluso inicio de un hilo&#8221;, los investigadores de Security Joes, Thiago Peixoto, Felipe Duarte e Ido Naor. <a rel=\"nofollow noopener\" href=\"https:\/\/www.securityjoes.com\/post\/process-mockingjay-echoing-rwx-in-userland-to-achieve-code-execution\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.  &#8220;La singularidad de esta t\u00e9cnica es que requiere una DLL vulnerable y copiar el c\u00f3digo en la secci\u00f3n correcta&#8221;.<\/p>\n<p>La inyecci\u00f3n de proceso es un <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/\" target=\"_blank\">m\u00e9todo de ataque<\/a> que permite a los adversarios inyectar c\u00f3digo en los procesos para evadir las defensas basadas en procesos y elevar los privilegios.  Al hacerlo, podr\u00eda permitir la ejecuci\u00f3n de c\u00f3digo arbitrario en el espacio de memoria de un proceso en vivo separado.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/\u00a1Cortafuegos-Zyxel-bajo-ataque-Parches-urgentes-requeridos.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Algunas de las t\u00e9cnicas de inyecci\u00f3n de procesos m\u00e1s conocidas incluyen la inyecci\u00f3n de biblioteca de enlaces din\u00e1micos (DLL), la inyecci\u00f3n de ejecutables port\u00e1tiles, el secuestro de ejecuci\u00f3n de subprocesos, el vaciado de procesos y el doppelg\u00e4nging de procesos, entre otros.<\/p>\n<p>Vale la pena se\u00f1alar que cada uno de estos m\u00e9todos requiere una combinaci\u00f3n de llamadas al sistema espec\u00edficas y API de Windows para llevar a cabo la inyecci\u00f3n, lo que permite a los defensores dise\u00f1ar procedimientos de detecci\u00f3n y mitigaci\u00f3n adecuados.<\/p>\n<p>Lo que hace que Mockingjay se destaque es que subvierte estas capas de seguridad al eliminar la necesidad de ejecutar las API de Windows, generalmente monitoreadas por las soluciones de seguridad, aprovechando los archivos ejecutables port\u00e1tiles de Windows preexistentes que ya vienen con un <a rel=\"nofollow noopener\" href=\"https:\/\/cocomelonc.github.io\/tutorial\/2022\/02\/01\/malware-injection-16.html\" target=\"_blank\">bloque de memoria<\/a> protegido con lectura-escritura-ejecuci\u00f3n (<a rel=\"nofollow noopener\" href=\"https:\/\/www.ired.team\/offensive-security\/defense-evasion\/finding-all-rwx-protected-memory-regions\" target=\"_blank\">RWX<\/a>) permisos.<\/p>\n<p><a href=\"https:\/\/www.youtube.com\/watch?v=155OXwnnAyw\" rel=\"nofollow noopener\" target=\"_blank\">https:\/\/www.youtube.com\/watch?v=155OXwnnAyw<\/a><\/p>\n<p>Esto, a su vez, se logra mediante msys-2.0.dll, que viene con &#8220;un generoso espacio RWX disponible de 16 KB&#8221;, lo que lo convierte en un candidato ideal para cargar c\u00f3digo malicioso y pasar desapercibido.  Sin embargo, vale la pena se\u00f1alar que podr\u00eda haber otras DLL susceptibles con caracter\u00edsticas similares.<\/p>\n<p>La compa\u00f1\u00eda israel\u00ed dijo que explor\u00f3 dos m\u00e9todos diferentes, la autoinyecci\u00f3n y la inyecci\u00f3n de proceso remoto, para lograr la inyecci\u00f3n de c\u00f3digo de una manera que no solo mejora la eficiencia del ataque, sino que tambi\u00e9n evita la detecci\u00f3n.<\/p>\n<p>En el primer enfoque, se utiliza una aplicaci\u00f3n personalizada para cargar directamente la DLL vulnerable en su espacio de direcciones y, en \u00faltima instancia, ejecutar el c\u00f3digo deseado mediante la secci\u00f3n RWX.  La inyecci\u00f3n de procesos remotos, por otro lado, implica el uso de la secci\u00f3n RWX en la DLL vulnerable para realizar la inyecci\u00f3n de procesos en un proceso remoto como ssh.exe.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/www.memcyco.com\/home\/library\/the-untold-cost-of-brand-impersonation-ebook\/?utm_source=thn&amp;utm_medium=referral&amp;utm_campaign=ebook-campaign\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Nueva-tecnica-de-inyeccion-de-proceso-de-Mockingjay-podria-permitir.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;La singularidad de esta t\u00e9cnica radica en el hecho de que no es necesario asignar memoria, establecer permisos o crear un nuevo hilo dentro del proceso de destino para iniciar la ejecuci\u00f3n de nuestro c\u00f3digo inyectado&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;Esta diferenciaci\u00f3n distingue a esta estrategia de otras t\u00e9cnicas existentes y dificulta que los sistemas de detecci\u00f3n y respuesta de punto final (EDR) detecten este m\u00e9todo&#8221;.<\/p>\n<p>Los hallazgos llegan semanas despu\u00e9s de que la firma de ciberseguridad SpecterOps <a rel=\"nofollow noopener\" href=\"https:\/\/posts.specterops.io\/less-smartscreen-more-caffeine-ab-using-clickonce-for-trusted-code-execution-1446ea8051c5\" target=\"_blank\">detallado<\/a> un nuevo m\u00e9todo que explota una tecnolog\u00eda leg\u00edtima de implementaci\u00f3n de Visual Studio llamada <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/visualstudio\/deployment\/clickonce-security-and-deployment\" target=\"_blank\">Hacer clic una vez<\/a> para lograr la ejecuci\u00f3n de c\u00f3digo arbitrario y obtener acceso inicial.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/new-mockingjay-process-injection.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 de junio de 2023\ue804Ravie Lakshman\u00e1nMalware \/ Ciberamenaza Los actores de amenazas podr\u00edan explotar una nueva t\u00e9cnica de<\/p>\n","protected":false},"author":1,"featured_media":826474,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,34790,171224,4662,9455,4668,4667,4669,171223,4654,4658,4659,4653,4655,212,1515,2916,7187,4663,4666,4665,26098,4660],"class_list":["post-826472","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-deteccion","tag-evada","tag-filtracion-de-datos","tag-inyeccion","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware","tag-mockingjay","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-permitir","tag-podria","tag-proceso","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-tecnica","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/826472","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=826472"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/826472\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/826474"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=826472"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=826472"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=826472"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}