/ / Quá trình tiêm là gì và làm thế nào bạn có thể ngăn chặn nó?

Quá trình tiêm là gì và làm thế nào bạn có thể ngăn chặn nó?

Nhận ra rằng một vectơ tấn công đang chạy trong mạng của bạn ngay trước mũi bạn có thể gây sốc. Bạn đã đóng vai trò của mình bằng cách thực hiện những gì có vẻ như là biện pháp phòng thủ an ninh hiệu quả, nhưng kẻ tấn công vẫn vượt qua được chúng. Làm thế nào là có thể?


Họ có thể đã triển khai quy trình chèn bằng cách chèn mã độc hại vào các quy trình hợp pháp của bạn. Quy trình tiêm hoạt động như thế nào và làm thế nào bạn có thể ngăn chặn nó?


Quy trình tiêm là gì?

Chèn quy trình là một quy trình trong đó kẻ tấn công đưa mã độc hại vào một quy trình hợp pháp và đang hoạt động trong mạng. Phổ biến với các cuộc tấn công bằng phần mềm độc hại, nó cho phép các tác nhân mạng lây nhiễm vào hệ thống theo những cách khiêm tốn nhất. Một kỹ thuật tấn công mạng tiên tiến, kẻ xâm nhập sẽ chèn phần mềm độc hại vào các quy trình hợp lệ của bạn và hưởng các đặc quyền của các quy trình đó.

Quy trình tiêm hoạt động như thế nào?

Máy tính xách tay trên bàn làm việc

Các kiểu tấn công hiệu quả nhất là những kiểu có thể chạy ngầm mà không gây nghi ngờ. Thông thường, bạn có thể phát hiện mối đe dọa phần mềm độc hại bằng cách phác thảo và kiểm tra tất cả các quy trình trong mạng của mình. Tuy nhiên, việc phát hiện việc chèn quy trình không dễ dàng như vậy vì các mã ẩn dưới bóng của các quy trình hợp pháp của bạn.

Vì bạn đã đưa các quy trình được ủy quyền của mình vào danh sách trắng nên hệ thống phát hiện của bạn sẽ chứng nhận chúng hợp lệ mà không có dấu hiệu cho thấy có điều gì đó không ổn. Các quy trình được tiêm cũng bỏ qua điều tra đĩa vì các mã độc hại chạy trong bộ nhớ của quy trình hợp lệ.

Kẻ tấn công sử dụng khả năng tàng hình của các mã để truy cập vào tất cả các khía cạnh của mạng của bạn mà các quy trình hợp pháp mà chúng đang che giấu có thể truy cập. Điều này bao gồm các đặc quyền quản trị nhất định mà bạn sẽ không cấp cho bất kỳ ai.

Mặc dù quá trình chèn có thể dễ dàng không được chú ý, nhưng các hệ thống bảo mật tiên tiến có thể phát hiện ra chúng. Vì vậy, tội phạm mạng nâng cao tiêu chuẩn bằng cách thực hiện nó theo những cách khiêm tốn nhất mà các hệ thống như vậy sẽ bỏ qua. Chúng sử dụng các quy trình cơ bản của Windows như cmd.exe, msbuild.exe, explorer.exe, v.v. để khởi chạy các cuộc tấn công như vậy.

3 quy trình kỹ thuật tiêm

Có các kỹ thuật tiêm quy trình khác nhau cho các mục đích khác nhau. Vì các tác nhân đe dọa mạng rất am hiểu về các hệ thống khác nhau và tình trạng bảo mật của chúng, nên chúng triển khai kỹ thuật phù hợp nhất để tăng tỷ lệ thành công. Hãy nhìn vào một số trong số họ.

1. Tiêm DLL

Chèn DLL (Thư viện liên kết động) là một kỹ thuật chèn quy trình trong đó tin tặc sử dụng thư viện liên kết động để tác động đến một quy trình thực thi, buộc nó hoạt động theo cách bạn không có ý định hoặc mong đợi.

Cuộc tấn công tiêm mã với mục đích ghi đè mã gốc trong hệ thống của bạn và kiểm soát nó từ xa.

Tương thích với một số chương trình, DLL injection cho phép các chương trình sử dụng mã nhiều lần mà không làm mất hiệu lực. Để quy trình tiêm DLL thành công, phần mềm độc hại phải chứa dữ liệu của tệp DLL bị nhiễm trong mạng của bạn.

2. Tiêm PE

Thực thi Di động (PE) là một phương pháp chèn quy trình trong đó kẻ tấn công lây nhiễm một quy trình đang hoạt động và hợp lệ trong mạng của bạn bằng hình ảnh PE có hại. Nó đơn giản hơn các kỹ thuật tiêm quy trình khác vì nó không yêu cầu kỹ năng viết mã trình bao. Kẻ tấn công có thể dễ dàng viết mã PE bằng C++ cơ bản.

Tiêm PE là không đĩa. Phần mềm độc hại không cần sao chép dữ liệu của nó vào bất kỳ đĩa nào trước khi quá trình tiêm bắt đầu.

3. Xử lý rỗng

Process Hollowing là một kỹ thuật chèn quy trình, trong đó, thay vì sử dụng một quy trình hợp pháp hiện có, kẻ tấn công tạo ra một quy trình mới nhưng lây nhiễm mã độc vào quy trình đó. Kẻ tấn công phát triển quy trình mới dưới dạng tệp svchost.exe hoặc notepad. Bằng cách đó, bạn sẽ không thấy nó đáng ngờ ngay cả khi bạn phát hiện ra nó trong danh sách quy trình của mình.

Quá trình độc hại mới không bắt đầu chạy ngay lập tức. Tội phạm mạng làm cho nó không hoạt động, kết nối nó với quy trình hợp pháp và tạo không gian cho nó trong bộ nhớ của hệ thống.

Làm thế nào bạn có thể ngăn chặn quy trình tiêm?

Dữ liệu HTML trên màn hình máy tính

Quá trình chèn có thể phá hỏng toàn bộ mạng của bạn vì kẻ tấn công có thể có mức truy cập cao nhất. Bạn làm cho công việc của họ dễ dàng hơn rất nhiều nếu các quy trình được đưa vào là bí mật đối với tài sản có giá trị nhất của bạn. Đây là một cuộc tấn công mà bạn phải cố gắng ngăn chặn nếu bạn chưa sẵn sàng để mất quyền kiểm soát hệ thống của mình.

Dưới đây là một số cách hiệu quả nhất để ngăn chặn process injection.

1. Áp dụng danh sách trắng

Lập danh sách trắng là quá trình liệt kê một tập hợp các ứng dụng có thể xâm nhập vào mạng của bạn dựa trên đánh giá bảo mật của bạn. Bạn phải coi các mục trong danh sách trắng của mình là vô hại và trừ khi lưu lượng truy cập đến nằm trong phạm vi phủ sóng của danh sách trắng của bạn, chúng không thể đi qua.

Để ngăn quy trình đưa vào danh sách trắng, bạn cũng phải thêm đầu vào của người dùng vào danh sách trắng của mình. Phải có một tập hợp đầu vào được phép vượt qua kiểm tra bảo mật của bạn. Vì vậy, nếu kẻ tấn công thực hiện bất kỳ đầu vào nào ngoài phạm vi quyền hạn của bạn, hệ thống sẽ chặn chúng.

2. Giám sát quy trình

Trong chừng mực việc đưa vào quy trình có thể bỏ qua một số kiểm tra bảo mật, bạn có thể đảo ngược tình thế bằng cách chú ý kỹ đến hành vi của quy trình. Để làm điều này, trước tiên bạn phải phác thảo hiệu suất dự kiến ​​của một quy trình cụ thể và sau đó so sánh nó với hiệu suất hiện tại của nó.

Sự hiện diện của các mã độc hại trong một quy trình sẽ gây ra một số thay đổi, bất kể chúng có thể nhỏ đến mức nào đối với một quy trình. Thông thường, bạn sẽ bỏ qua những thay đổi đó vì chúng không đáng kể. Nhưng khi bạn quan tâm đến việc khám phá sự khác biệt giữa hiệu suất dự kiến ​​và hiệu suất hiện tại thông qua giám sát quy trình, bạn sẽ nhận thấy sự bất thường.

3. Mã hóa đầu ra

Các tác nhân đe dọa mạng thường sử dụng Cross-Site Scripting (XSS) để đưa các mã nguy hiểm vào quy trình. Các mã này biến thành các tập lệnh chạy trong nền mạng của bạn mà bạn không hề hay biết. Bạn có thể ngăn điều đó xảy ra bằng cách kiểm tra và làm sạch tất cả các đầu vào đáng ngờ. Đổi lại, chúng sẽ được hiển thị dưới dạng dữ liệu chứ không phải mã độc như dự kiến.

Mã hóa đầu ra hoạt động tốt nhất với mã hóa HTML—một kỹ thuật cho phép bạn mã hóa đầu ra biến đổi. Bạn xác định một số ký tự đặc biệt và thay thế chúng bằng các ký tự thay thế.

Ngăn chặn quy trình tiêm nhiễm bằng bảo mật dựa trên trí thông minh

Chèn quy trình tạo ra một màn khói che đậy các mã độc hại trong một quy trình hoạt động và hợp lệ. Những gì bạn thấy không phải là những gì bạn nhận được. Những kẻ tấn công hiểu hiệu quả của kỹ thuật này và liên tục sử dụng nó để khai thác người dùng.

Để chống lại việc tiêm quá trình, bạn phải vượt qua kẻ tấn công bằng cách không quá rõ ràng với hệ thống phòng thủ của mình. Thực hiện các biện pháp bảo mật sẽ vô hình trên bề mặt. Họ sẽ nghĩ rằng họ đang chơi bạn, nhưng họ không hề hay biết, bạn mới là người chơi họ.

Bài viết liên quan:

  1. Cách dùng bộ số xe đạp 3 đĩa nhiều tầng líp chuẩn, bền, ngon
  2. Cách làm ĐẬU HŨ RANG SẢ ỚT đậm đà thơm ngon | vegan recipes
  3. Cách phát nhạc với Amazon Alexa Alarm
  4. Cách tạo bài đăng băng chuyền trên Instagram với Adobe InDesign

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *