{"id":803904,"date":"2023-06-27T14:11:35","date_gmt":"2023-06-27T16:11:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-nouvelle-technique-dinjection-de-processus-mockingjay-pourrait-permettre-aux-logiciels-malveillants-dechapper-a-la-detection\/"},"modified":"2023-06-27T14:11:38","modified_gmt":"2023-06-27T16:11:38","slug":"la-nouvelle-technique-dinjection-de-processus-mockingjay-pourrait-permettre-aux-logiciels-malveillants-dechapper-a-la-detection","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-nouvelle-technique-dinjection-de-processus-mockingjay-pourrait-permettre-aux-logiciels-malveillants-dechapper-a-la-detection\/","title":{"rendered":"La nouvelle technique d’injection de processus Mockingjay pourrait permettre aux logiciels malveillants d’\u00e9chapper \u00e0 la d\u00e9tection"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>27 juin 2023<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Logiciels malveillants \/ cybermenaces<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Une nouvelle technique d’injection de processus appel\u00e9e Mockingjay pourrait \u00eatre exploit\u00e9e par des pirates pour contourner les solutions de s\u00e9curit\u00e9 afin d’ex\u00e9cuter du code malveillant sur des syst\u00e8mes compromis.<\/p>\n

“L’injection est ex\u00e9cut\u00e9e sans allocation d’espace, ni d\u00e9finition d’autorisations ni m\u00eame d\u00e9marrage de thread”, ont d\u00e9clar\u00e9 les chercheurs de Security Joes, Thiago Peixoto, Felipe Duarte et <\/p>\n

Ido Naor a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News. “La particularit\u00e9 de cette technique est qu’elle n\u00e9cessite une DLL vuln\u00e9rable et la copie du code dans la bonne section.”<\/p>\n

L’injection de processus est un m\u00e9thode d’attaque<\/a> qui permet aux adversaires d’injecter du code dans les processus afin d’\u00e9chapper aux d\u00e9fenses bas\u00e9es sur les processus et d’\u00e9lever les privil\u00e8ges. Ce faisant, cela pourrait permettre l’ex\u00e9cution de code arbitraire dans l’espace m\u00e9moire d’un processus en direct distinct.<\/p>\n

\"La<\/a><\/center><\/div>\n

Certaines des techniques d’injection de processus bien connues incluent l’injection de biblioth\u00e8que de liens dynamiques (DLL), l’injection d’ex\u00e9cutables portables, le d\u00e9tournement d’ex\u00e9cution de threads, l’\u00e9videment de processus et le doppelg\u00e4nging de processus, entre autres.<\/p>\n

Il convient de souligner que chacune de ces m\u00e9thodes n\u00e9cessite une combinaison d’appels syst\u00e8me sp\u00e9cifiques et d’API Windows pour effectuer l’injection, permettant ainsi aux d\u00e9fenseurs d’\u00e9laborer des proc\u00e9dures de d\u00e9tection et d’att\u00e9nuation appropri\u00e9es.<\/p>\n

Ce qui distingue Mockingjay, c’est qu’il subvertit ces couches de s\u00e9curit\u00e9 en \u00e9liminant le besoin d’ex\u00e9cuter des API Windows g\u00e9n\u00e9ralement surveill\u00e9es par des solutions de s\u00e9curit\u00e9 en tirant parti des fichiers ex\u00e9cutables portables Windows pr\u00e9existants qui sont d\u00e9j\u00e0 livr\u00e9s avec un bloc m\u00e9moire<\/a> prot\u00e9g\u00e9 par lecture-\u00e9criture-ex\u00e9cution (RWX<\/a>) autorisations.<\/p>\n

https:\/\/www.youtube.com\/watch?v=155OXwnnAyw<\/a><\/p>\n

Ceci, \u00e0 son tour, est accompli \u00e0 l’aide de msys-2.0.dll, qui est livr\u00e9 avec un “g\u00e9n\u00e9reux 16 Ko d’espace RWX disponible”, ce qui en fait un candidat id\u00e9al pour charger du code malveillant et voler sous le radar. Cependant, il convient de noter qu’il pourrait y avoir d’autres DLL sensibles pr\u00e9sentant des caract\u00e9ristiques similaires.<\/p>\n

La soci\u00e9t\u00e9 isra\u00e9lienne a d\u00e9clar\u00e9 avoir explor\u00e9 deux m\u00e9thodes diff\u00e9rentes – l’auto-injection et l’injection de processus \u00e0 distance – pour r\u00e9aliser l’injection de code d’une mani\u00e8re qui non seulement am\u00e9liore l’efficacit\u00e9 de l’attaque, mais contourne \u00e9galement la d\u00e9tection.<\/p>\n

Dans la premi\u00e8re approche, une application personnalis\u00e9e est utilis\u00e9e pour charger directement la DLL vuln\u00e9rable dans son espace d’adressage et finalement ex\u00e9cuter le code souhait\u00e9 \u00e0 l’aide de la section RWX. L’injection de processus distant, d’autre part, implique l’utilisation de la section RWX dans la DLL vuln\u00e9rable pour effectuer l’injection de processus dans un processus distant tel que ssh.exe.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Le caract\u00e8re unique de cette technique r\u00e9side dans le fait qu’il n’est pas n\u00e9cessaire d’allouer de la m\u00e9moire, de d\u00e9finir des autorisations ou de cr\u00e9er un nouveau thread dans le processus cible pour lancer l’ex\u00e9cution de notre code inject\u00e9”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n

“Cette diff\u00e9renciation distingue cette strat\u00e9gie des autres techniques existantes et rend difficile la d\u00e9tection de cette m\u00e9thode par les syst\u00e8mes Endpoint Detection and Response (EDR).”<\/p>\n

Les r\u00e9sultats surviennent des semaines apr\u00e8s la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 SpecterOps d\u00e9taill\u00e9<\/a> une nouvelle m\u00e9thode qui exploite une technologie de d\u00e9ploiement l\u00e9gitime de Visual Studio appel\u00e9e Cliquez une fois<\/a> pour r\u00e9aliser l’ex\u00e9cution de code arbitraire et obtenir l’acc\u00e8s initial.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n