10 Lug 2023

New Mockingjay l’attacco che rende invisibili i malware

La process injection è un metodo per eseguire del codice all’interno di un processo in esecuzione, al fine di eludere le difese degli antivirus facendo passare il processo come “benevolo”.

New Mockingjay, nuova tecnica di process injection, potrebbe essere sfruttata dagli hacker per aggirare le soluzioni di sicurezza ed eseguire del codice dannoso sui sistemi compromessi.

Mockinjay consiste in un attacco che consente ai malintenzionati di inserire del codice nei processi in esecuzione al fine di eludere le difese ed elevare i privilegi. In tal modo, potrebbe consentire l’esecuzione di codice arbitrario nello spazio di memoria di un processo live separato.

Ciò che contraddistingue un attacco di New Mockingjay è che sovverte i livelli di sicurezza eliminando la necessità di eseguire le API (Application Programming Interface) di un sistema operativo, solitamente monitorate dalle soluzioni di sicurezza, sfruttando i file eseguibili portatili del sistema operativo preesistenti, che contengono un blocco di memoria predefinito protetto con autorizzazioni Read-Write- Execute (RWX).

Tuttavia vi è da considerare che tale metodo di attacco richiede una combinazione di chiamate di sistema specifiche e API del sistema operativo per eseguire il process injection, ovvero l’iniezione, consentendo così ai difensori di creare procedure di rilevamento e mitigazione appropriate.

Fonte: thehackenews,com