Yeni PoolParty Proses Enjeksiyon Teknikleri, En İyi EDR Çözümlerini Geride Bırakıyor

Toplu olarak PoolParty olarak adlandırılan sekiz işlem enjeksiyon tekniğinden oluşan yeni bir koleksiyon, uç nokta algılama ve yanıt (EDR) sistemlerinden kaçarken Windows sistemlerinde kod yürütmeyi sağlamak için kullanılabilir.

SafeBreach araştırmacısı Alon Leviev, yöntemlerin "herhangi bir sınırlama olmaksızın tüm süreçlerde çalışabilme yeteneğine sahip olduğunu ve bu da onları mevcut süreç enjeksiyon tekniklerinden daha esnek hale getirdiğini" söyledi.

Bulgular ilk olarak geçen hafta Black Hat Europe 2023 konferansında sunuldu.

İşlem enjeksiyonu, bir hedef işlemde rastgele kod çalıştırmak için kullanılan bir kaçınma tekniğini ifade eder. Dinamik bağlantı kitaplığı (DLL) enjeksiyonu, taşınabilir yürütülebilir enjeksiyon, iş parçacığı yürütme kaçırma, proses içi boşaltma ve proses ikizi gibi çok çeşitli proses enjeksiyon teknikleri mevcuttur.

PoolParty, Windows kullanıcı modu iş parçacığı havuzu adlı bir bileşene dayandığı ve sistemdeki bir hedef işleme herhangi bir iş öğesi türü eklemek için bundan yararlandığı için bu şekilde adlandırılmıştır.

İş parçacığı havuzu çalışan iş parçacıklarını yönetmekten sorumlu Windows nesnelerine başvuran çalışan fabrikaları hedefleyerek ve çalışan iş parçacıkları tarafından daha sonra yürütülmek üzere kötü amaçlı kabuk koduyla başlatma yordamının üzerine yazarak çalışır.

Leviev, "Kuyruklar dışında, işçi iş parçacığı yöneticisi olarak hizmet veren işçi fabrikası, işçi iş parçacıklarını devralmak için kullanılabilir" dedi.

SafeBreach, desteklenen iş öğelerine dayalı olarak görev kuyruğunu (normal iş öğeleri), G/Ç tamamlama kuyruğunu (eşzamansız iş öğeleri) ve zamanlayıcı kuyruğunu (zamanlayıcı iş öğeleri) kullanarak yedi başka işlem enjeksiyon tekniği tasarlayabildiğini söyledi.

PoolParty'nin CrowdStrike, Cybereason, Microsoft, Palo Alto Networks ve SentinelOne dahil olmak üzere popüler EDR çözümlerine karşı %100 başarı oranı elde ettiği tespit edildi.

Açıklama, Security Joes'un Mockingjay adlı başka bir işlem enjeksiyon tekniğinin, güvenliği ihlal edilmiş sistemlerde kötü amaçlı kod yürütmek için güvenlik çözümlerini atlamak için tehdit aktörleri tarafından kullanılabileceğini açıklamasından yaklaşık altı ay sonra geldi.

Leviev, "Modern EDR'ler bilinen proses enjeksiyon tekniklerini tespit etmek için evrimleşmiş olsa da, araştırmamız, tespit edilemeyen ve yıkıcı bir etki yaratma potansiyeline sahip yeni teknikler geliştirmenin hala mümkün olduğunu kanıtladı" dedi.

"Gelişmiş tehdit aktörleri, süreç enjeksiyonu için yeni ve yenilikçi yöntemler keşfetmeye devam edecek ve güvenlik aracı satıcıları ve uygulayıcıları bunlara karşı savunmalarında proaktif olmalıdır."